Bollettino Legale n. 69 – Marzo 2024.

Sicurezza dei dati, minacce informatiche: situazione attuale e linee guida.

Diverse organizzazioni stanno pubblicando i loro report sullo stato delle minacce informatiche all'inizio di quest'anno: un'opportunità per fare il punto sui rischi e fornire consigli su come proteggere i dati personali.

L'Agenzia dell'Unione europea per la cibersicurezza (ENISA) ha pubblicato il suo rapporto sulle minacce alla cibersicurezza fino al 2030.

Il rapporto individua come particolarmente preoccupanti le minacce legate alle dipendenze del software e alle campagne di disinformazione, nonché quelle connesse all'errore umano.

Tra le minacce a lungo termine, l'agenzia segnala la carenza di competenze e le inefficienze dei fornitori di servizi, nonché l'aumento delle minacce legate all'intelligenza artificiale.

In occasione della pubblicazione del suo rapporto annuale di attività, l'iniziativa "Lotta alla criminalità informatica" condivide anche la propria analisi sullo stato della minaccia in Francia. 

Il phishing rimane la minaccia principale: si sta diversificando e diventando sempre più sofisticato. Le principali forme di phishing riguardano violazioni del codice della strada, pedopornografia o falsi servizi di assistenza tecnica.

Inoltre, le truffe che coinvolgono falsi consulenti bancari rimangono a livelli costantemente elevati.

L'hacking degli account rappresenta un'altra grave minaccia, con conseguenze che possono portare al furto di identità e a danni finanziari.

Infine, gli attacchi ransomware e i malware (virus) sono cause significative e in aumento di richieste di assistenza alle vittime.

Il 27 marzo, la CNIL ha pubblicato un rapporto sulle violazioni della sicurezza avvenute negli ultimi cinque anni.

Sottolinea che il settore privato è responsabile di circa due terzi delle denunce di violazione presentate alla CNIL, incluse 39 denunce relative al codice % presentate dalle PMI.

Il settore pubblico, nel frattempo, rappresenta il 22% delle notifiche.

Per quanto riguarda la distribuzione per attività, le pubbliche amministrazioni rappresentano il 18% delle notifiche.

Nel settore privato sono maggiormente rappresentate le attività specializzate, scientifiche e tecniche, seguite da quelle finanziarie e assicurative.

Anche le attività legate alla salute umana rappresentano il 12% delle notifiche %.

In questo contesto, e per tenere conto dei nuovi rischi per i dati, la CNIL ha aggiornato la sua guida sulla sicurezza dei dati alla fine di marzo.

Questa nuova versione ristruttura la guida in cinque parti: utenti, apparecchiature, controllo dei dati, preparazione agli incidenti e, infine, un approfondimento sulle problematiche di maggiore attualità.

La CNIL introduce nuove schede informative, in particolare sull'intelligenza artificiale (IA), le applicazioni mobili, il cloud computing e le interfacce di programmazione delle applicazioni (API).

La guida include anche schede informative sull'analisi dei rischi e sulla crittografia.

In calce al documento, una checklist consente di esaminare le misure adottate dal responsabile e di valutarne il livello di sicurezza.

Tra le misure di protezione raccomandate, l'autenticazione a più fattori (MFA) è spesso citata e sempre più raccomandata per proteggere i database dai tentativi di accesso fraudolenti.

La CNIL ha appena avviato una consultazione pubblica sulla conformità al GDPR delle soluzioni che utilizzano l'AMF.

Un esempio recente conferma la necessità di chiarire il contesto di utilizzo dell'AMF: in Spagna, un'azienda è stata condannata in tribunale per aver imposto l'AMF ai propri dipendenti sui loro telefoni personali, quando la legge prevedeva che fornisse loro telefoni cellulari aziendali a tale scopo.

Nella sua raccomandazione, la CNIL affronta la questione della determinazione di una base giuridica, della minimizzazione dei dati raccolti, dei periodi di conservazione e del rispetto dell'esercizio dei diritti da parte degli interessati.

Fornisce esempi pratici di implementazione dell'autenticazione a più fattori nel rispetto della privacy.

 

      

Il 20 marzo, l'Autorità francese per la concorrenza ha inflitto a Google una multa di 250 milioni di euro per non aver rispettato i propri impegni e per aver utilizzato articoli di stampa per addestrare il suo sistema di intelligenza artificiale (Bard/Gemini). 

Questa decisione, la quarta adottata in questo caso in quattro anni, si inserisce nel contesto dell'adozione della legge del 24 luglio 2019 sui diritti connessi, che mira a creare le condizioni per una negoziazione equilibrata tra editori, agenzie di stampa e piattaforme digitali.

L'8 aprile, la CNIL ha pubblicato delle raccomandazioni sull'utilizzo dell'intelligenza artificiale nel rispetto dei dati personali.

Il loro obiettivo è fornire risposte concrete, illustrate con esempi, alle sfide legali e tecniche relative all'applicazione del GDPR all'intelligenza artificiale.

I punti affrontati in queste raccomandazioni iniziali permettono in particolare di determinare il regime giuridico applicabile, la qualificazione giuridica dei soggetti coinvolti, di effettuare un'analisi d'impatto laddove opportuno e di integrare la protezione dei dati fin dalla fase di progettazione del sistema (privacy by design).

 

istituzioni e organismi europei

L'11 marzo, il Garante europeo della protezione dei dati (EDPS) ha constatato che la Commissione europea aveva violato diverse norme fondamentali in materia di protezione dei dati nell'utilizzo di Microsoft 365.

In particolare, "la Commissione non ha fornito garanzie adeguate per assicurare che i dati personali trasferiti al di fuori dell'UE/SEE godano di un livello di protezione sostanzialmente equivalente a quello garantito nell'UE/SEE".

Inoltre, nel suo contratto con Microsoft, la Commissione non ha specificato in modo sufficiente quali tipi di dati personali dovessero essere raccolti e per quali scopi espliciti e precisi nell'utilizzo di Microsoft 365 (...).

Il Comitato europeo per la protezione dei dati (EDPB) ha imposto alla Commissione misure correttive, tra cui la sospensione, a partire dal 9 dicembre 2024, di tutti i flussi di dati derivanti dall'utilizzo di Microsoft 365 verso Microsoft e le sue affiliate e subappaltatori situati in paesi al di fuori dell'UE/SEE non coperti da una decisione di adeguatezza.

Sebbene questa decisione riguardi le istituzioni europee, il ragionamento del Garante europeo della protezione dei dati (EDPS) ha una portata molto più ampia e potrebbe avere ripercussioni sull'utilizzo di Microsoft 365 negli Stati membri dell'UE.

Il 15 marzo, il Mediatore europeo ha scritto alla Commissione europea per chiedere come quest'ultima utilizzi l'intelligenza artificiale nei suoi processi decisionali.

Il Mediatore civico ha osservato che "sebbene i rapidi sviluppi nell'intelligenza artificiale possano migliorare la qualità e l'efficienza del lavoro, pongono importanti sfide in termini di accuratezza, potenziali pregiudizi, interpretabilità e controllo umano".

Ha inoltre sottolineato che le amministrazioni pubbliche devono garantire che l'intelligenza artificiale si limiti ad assistere il processo decisionale umano e non lo sostituisca.

Le domande si concentrano sull'utilizzo dell'IA in tre aree specifiche: analisi del feedback del pubblico, individuazione di potenziali violazioni delle norme UE in materia di concorrenza e gestione dei reclami.

Mentre il Parlamento europeo ha appena votato il regolamento sull'intelligenza artificiale, i regolamenti relativi ai mercati digitali (DMA) e ai servizi digitali (DSA) sono già entrati in vigore e la Commissione ha già avviato diverse procedure ai sensi di questi due testi.

Il 25 marzo ha avviato un procedimento basato sul DMA (Digital Markets Authority) contro Alphabet, Apple e Meta.

Per quanto riguarda Apple e Alphabet, la Commissione intende accertare se le misure adottate in relazione ai loro obblighi riguardanti gli app store siano contrarie alla legge sugli appalti pubblici, che impone ai gestori degli appalti di consentire agli sviluppatori di app di "indirizzare" gratuitamente i consumatori verso offerte non presenti nei loro app store.

Per quanto riguarda Meta, la Commissione ha avviato una procedura per stabilire se il modello "paga o acconsenti" recentemente introdotto per gli utenti nell'UE sia conforme alla normativa sulla protezione dei dati, che impone ai titolari del trattamento di ottenere il consenso degli utenti quando intendono combinare o utilizzare in modo incrociato i loro dati personali.

Quest'ultima procedura si aggiunge a quella avviata dal Comitato europeo per la protezione dei dati sullo stesso argomento.

Il 14 marzo la Commissione ha inoltre avviato una procedura formale ai sensi del DSA per accertare se AliExpress avesse violato la legge sui servizi digitali in ambiti quali la gestione e la mitigazione dei rischi, la moderazione dei contenuti e il meccanismo interno di gestione dei reclami, la trasparenza dei sistemi pubblicitari e di raccomandazione, la tracciabilità dei venditori e l'accesso ai dati per i ricercatori.

Nella stessa data, ha anche inviato una richiesta di informazioni a LinkedIn in merito a una potenziale pubblicità mirata basata su dati sensibili.

Il 4 marzo, la Commissione europea ha ospitato la primissima riunione "di alto livello" sui flussi transfrontalieri di dati.

All'incontro hanno partecipato il Commissario per la Giustizia, il Presidente del Comitato europeo per la protezione dei dati (EDPB), nonché ministri e responsabili delle autorità di protezione dei dati di 15 paesi e territori per i quali l'UE ha adottato una decisione di adeguatezza.

L'obiettivo è promuovere una maggiore cooperazione tra questi partecipanti nel settore della protezione dei dati.

In una sentenza del 7 marzo, la Corte di giustizia dell'Unione europea (CGUE) ha confermato che la stringa TC ("stringa TC") utilizzata dagli inserzionisti per codificare le preferenze degli utenti "contiene informazioni su un utente identificabile e pertanto costituisce dati personali ai sensi del GDPR".

Quando le informazioni contenute in una stringa TC sono associate a un identificatore, come ad esempio l'indirizzo IP del dispositivo dell'utente, queste informazioni possono essere utilizzate per creare un profilo di tale utente e identificarlo. 

Inoltre, IAB Europe deve essere considerata un “contitolare del trattamento” ai sensi del GDPR. (...)

L'associazione sembra esercitare influenza sulle operazioni di trattamento dei dati quando le preferenze di consenso dell'utente vengono registrate in una stringa TC e determinare, insieme ai suoi membri, sia le finalità di tali operazioni sia i mezzi che le sottendono. 

Il 7 marzo la Corte di giustizia dell'Unione europea si è pronunciata sul ricorso presentato contro una decisione della Corte di giustizia dell'UE, riguardante il concetto di dati personali.

 Si è ritenuto che la natura identificabile non sia legata al fatto che un "lettore medio" possa identificare una persona, ma dipenda dal possesso o meno di "fattori aggiuntivi... necessari per l'identificazione... [tali fattori] possono essere accessibili a una persona diversa dal titolare del trattamento (cfr. C-582/14, paragrafi 39 e 41)".

Il Tribunale ha inoltre errato nell'affermare che i "mezzi ragionevolmente utilizzabili" per identificare la persona in questione fossero limitati.

Il tribunale avrebbe dovuto valutare i costi e i tempi necessari per identificare il querelante al fine di stabilire se quest'ultimo potesse essere identificato con "mezzi ragionevoli".

La presente decisione riguardava l'applicazione del regolamento sulla protezione dei dati applicabile alle istituzioni europee, le cui definizioni sono identiche a quelle del GDPR.

Sul sito web di Kaizener troverete una serie di tabelle che elencano le numerose iniziative normative europee nel settore digitale, nonché il loro stato di attuazione. 

 

Notizie dai paesi membri dell'Unione Europea.

Il 15 marzo l'Autorità belga per la protezione dei dati ha pubblicato una decisione riguardante la base giuridica per il trattamento dei dati utilizzati per l'addestramento di modelli di intelligenza artificiale e il successivo utilizzo separato di tali modelli per scopi commerciali. 

L'APD ha ritenuto che il titolare del trattamento non potesse invocare un uso compatibile (articolo 6, paragrafo 4, del GDPR), poiché l'obiettivo della formazione non era stato chiaramente definito fin dall'inizio.

Un ulteriore utilizzo richiedeva inoltre una propria base giuridica.

Il titolare del trattamento dei dati deve inoltre garantire ai propri clienti il diritto di opporsi all'utilizzo dei dati per l'addestramento dei modelli.

L'Autorità belga per la protezione dei dati ha inoltre ritenuto che un titolare del trattamento avesse violato l'articolo 5(1) del GDPR non cancellando tempestivamente l'account di posta elettronica di un ex dipendente.

L'APD ha dichiarato che la casella di posta elettronica deve essere disattivata l'ultimo giorno lavorativo e che la risposta automatica deve essere disattivata entro un mese o, in alcuni casi eccezionali, entro tre mesi.

In un contesto analogo, il Garante per la protezione dei dati personali (APD) ha ritenuto che il titolare del trattamento avesse violato il principio di minimizzazione dei dati non disattivando l'account di posta elettronica di un ex dipendente, adducendo la necessità di reindirizzare i clienti a un altro account.

Il responsabile del trattamento dei dati è stato multato di 15.000 euro.

L'Autorità Garante per la Protezione dei Dati Personali (APD) ha multato un subappaltatore per 800.000 euro per aver incaricato un secondo subappaltatore senza la preventiva autorizzazione del titolare del trattamento e per aver notificato tardivamente al titolare del trattamento una violazione dei dati.

Ha inoltre multato cinque aziende che utilizzavano il riconoscimento facciale per monitorare le presenze sul posto di lavoro.

L'autorità ha riscontrato che le misure di protezione dei dati erano inadeguate, che le persone non avevano ricevuto le informazioni richieste e che si sarebbe potuto utilizzare un sistema meno invasivo.

L'Autorità Garante per la protezione dei dati personali (APD) ha inoltre avviato un'indagine l'8 marzo nei confronti di OpenAI, che aveva annunciato il lancio di un nuovo modello di intelligenza artificiale denominato "Sora".

Questo modello sarebbe in grado di creare scene dinamiche, realistiche e fantasiose a partire da poche istruzioni testuali.

L'APD ha chiesto a OpenAi di fornire una serie di chiarimenti in vista delle implicazioni che "Sora" potrebbe avere sul trattamento dei dati personali degli utenti nell'Unione Europea e in particolare in Italia.

Il 25 marzo, l'Autorità portoghese per la protezione dei dati (APD) ha deciso di ordinare alla Worldcoin Foundation di limitare temporaneamente la raccolta di dati biometrici da parte di "Orb" sul territorio nazionale al fine di tutelare i diritti dei cittadini, in particolare dei minori.

La decisione impone alla Worldcoin Foundation, in qualità di titolare del trattamento dei dati, una misura provvisoria urgente fino alla conclusione del processo di indagine.

Anche la Spagna ha preso una decisione simile.

L'Autorità finlandese per la protezione dei dati (APD) ha multato un rivenditore di prodotti informatici per 856.000 euro per non aver determinato il periodo di conservazione dei dati dei propri clienti.

L'APD ha inoltre considerato che Il trattamento dei dati personali relativi a un singolo acquisto online non richiede la creazione di un account cliente.

In Germania, un tribunale di Berlino ha stabilito che il titolare del trattamento dei dati non può limitarsi, nel rispondere a una richiesta di accesso, a fornire una panoramica astratta del trattamento.

Il funzionario aveva citato sforzi sproporzionati.

Secondo la corte, tali eccezioni possono essere invocate solo in casi eccezionali.

L'Autorità islandese per la protezione dei dati (APD) ha multato Stjörnuna ehf per 10.059,92 euro (1.500.000 ISK). il gestore di Subway in Islanda, per aver monitorato illegalmente i propri dipendenti senza informarli adeguatamente.

In Austria, la Corte amministrativa suprema ha stabilito che un algoritmo La determinazione della probabilità di assunzione dei candidati a un posto di lavoro costituisce un processo decisionale automatizzato ai sensi dell'articolo 22 del GDPR, anche se il risultato viene utilizzato esclusivamente da un ente pubblico per fornire ai candidati una consulenza mirata in materia di occupazione.

 

Il governo britannico A marzo è stata pubblicata una guida per l'acquisizione e l'impiego responsabile dell'intelligenza artificiale nel settore delle risorse umane e del reclutamento.

Il 21 marzo, le Nazioni Unite hanno adottato una risoluzione completa sull'intelligenza artificiale.

L'organizzazione riconosce che l'IA può contribuire ad accelerare il raggiungimento dei 17 Obiettivi di Sviluppo Sostenibile e sottolinea l'urgenza di "raggiungere un consenso globale su sistemi di intelligenza artificiale sicuri, protetti e affidabili".

La risoluzione incoraggia gli Stati membri ad adottare regolamenti e politiche sull'intelligenza artificiale in diverse aree tematiche, tra cui la tutela della privacy.

L'Assemblea ha invitato tutti gli Stati membri e le parti interessate "ad astenersi dall'utilizzare o a cessare l'uso di sistemi di intelligenza artificiale che non possono essere gestiti in conformità con il diritto internazionale in materia di diritti umani o che presentano rischi eccessivi per il godimento dei diritti umani".

Secondo un articolo di TechCrunch del 26 marzo, un tribunale federale in California ha reso pubblici diversi documenti nell'ambito di una class action intentata dai consumatori contro Meta.

Nel 2016, Facebook avrebbe lanciato un progetto segreto volto a intercettare e decrittografare il traffico di rete tra gli utenti dell'applicazione Snapchat e i suoi server.

L'obiettivo era comprendere il comportamento degli utenti e aiutare Facebook a competere con Snapchat.

Il Dipartimento di Giustizia e l'FBI hanno annunciato il 25 marzo che milioni di account online di cittadini americani sono stati compromessi da un complotto di hacker cinese.

Sette cittadini cinesi sono stati accusati di aver condotto una campagna di attacchi informatici su vasta scala.

Il Dipartimento di Giustizia ha affermato che gli hacker hanno preso di mira critici della Cina, aziende e politici, sia americani che stranieri.

Il 25 marzo, il governatore repubblicano della Florida ha firmato una legge che vieta l'accesso ai social media ai minori di 14 anni.

I minori di 14 o 15 anni dovranno ottenere il consenso esplicito dei genitori per creare un account.

Quando le norme entreranno in vigore il 1° luglio 2024, aziende come Facebook, Instagram e TikTok saranno in linea di principio obbligate a chiudere gli account esistenti che non soddisfano tali requisiti e a cancellare tutti i relativi dati personali.

Questa misura è stata criticata e si prevede che verrà impugnata in tribunale sulla base del diritto costituzionale alla libertà di espressione.

Nel frattempo, gli Stati Uniti stanno valutando la possibilità di vietare TikTok a livello nazionale.

Il 13 marzo, la Camera dei Rappresentanti ha approvato il cosiddetto "Protecting Americans from Foreign Adversary Controlled Applications Act" (Legge per la protezione dei cittadini americani dalle applicazioni controllate da avversari stranieri).

Se approvata dal Senato e promulgata, la legge obbligherà TikTok a separare la piattaforma video dalla sua società madre cinese ByteDance o a revocare l'accesso all'applicazione agli utenti americani.

Il 18 marzo, in occasione del terzo vertice sulla democrazia a Seul, Corea del Sud, Finlandia, Germania, Irlanda, Giappone, Polonia e Repubblica di Corea si sono unite agli Stati Uniti in una dichiarazione congiunta sugli sforzi per combattere la proliferazione e l'uso improprio di spyware commerciali.

I Paesi si impegnano a collaborare all'interno dei propri sistemi nazionali per stabilire solide garanzie al fine di contrastare la proliferazione e l'uso improprio di questa tecnologia di sorveglianza.

In Kuwait, l'Autorità di regolamentazione delle tecnologie dell'informazione e della comunicazione (CITRA) ha pubblicato una nuova legge sulla protezione dei dati personali.