Bollettino Legale n. 81 – Marzo 2025. 

Violazioni dei dati: quali azioni legali intraprendere e quali sanzioni?

Chi non ha ricevuto di recente un'e-mail dal proprio fornitore di servizi di telecomunicazione, o dalla ONG a cui effettua una donazione mensile, che lo informava che i suoi dati di contatto, i suoi identificativi e, a volte, le sue coordinate bancarie, erano stati compromessi?

In un periodo in cui le violazioni dei dati si moltiplicano, la protezione dei sistemi informatici sta diventando una questione cruciale per le aziende.

Dall'entrata in vigore del GDPR e della direttiva NIS2, la sicurezza del trattamento dei dati è rigorosamente regolamentata e le violazioni sono soggette a sanzioni elevate per i titolari del trattamento.

Tra gli obblighi, va menzionato quello di notificare la violazione alla CNIL e alle persone interessate entro determinati termini, di porvi rimedio e di adottare tutte le misure utili per mitigarne le conseguenze.

La CNIL dispone di ampi poteri investigativi e la sua missione è quella di supportare, ma anche di sanzionare, i titolari del trattamento dei dati quando una violazione della sicurezza è la causa della violazione dei dati.

La Commissione ha imposto diverse sanzioni negli ultimi anni:

• Nel 2017 Bouygues Telecom è stata multata di 250.000 euro a causa di carenze di sicurezza sul sito web dedicato ai clienti di B&You, che consentivano l'accesso ai contratti di 2 milioni di clienti tramite una modifica dell'URL.
• Nel 2016, Uber è stata multata di 400.000 euro per una violazione della sicurezza che ha compromesso 57 milioni di account e per non aver notificato l'accaduto alla CNIL entro i termini di legge.
• Più recentemente, Dedalus Biologie ha esposto i dati sanitari di 500.000 pazienti a causa di un'errata configurazione del server da parte di un subappaltatore ed è stata multata di 1,5 milioni di euro dalla CNIL.
• Infine, lo scorso ottobre, Ledger, società di sicurezza per criptovalute, è stata multata di 750.000 euro per non aver protetto adeguatamente i dati dei propri clienti. L'azienda aveva subito – e taciuto su – diverse violazioni di dati personali nel 2020, che avevano colpito numerosi clienti e potenziali clienti.

La Commissione, tuttavia, sembra attualmente propensa a privilegiare il sostegno rispetto alle sanzioni.e pubblica sul proprio sito web numerose raccomandazioni per i titolari del trattamento dei dati.

All'inizio dell'anno, ha risposto alle violazioni di dati su larga scala che hanno colpito milioni di persone nel 2024 e ha proposto misure di rafforzamento della sicurezza per affrontare i rischi di attacco.

La CNIL insiste sul rispetto delle procedure interne aziendali, nonché sulle precauzioni da adottare in caso di subappalto.

Altrove in Europa, Molte aziende vengono multate con somme che vanno da poche migliaia a diverse centinaia di migliaia di euro per, ad esempio, aver "dimenticato" di revocare i diritti di accesso al sistema informatico di ex dipendenti, aver commesso errori nella progettazione di un'applicazione bancaria o nella configurazione di un sito web, aver inviato per sbaglio una SIM card al cliente sbagliato, aver scaricato un file di un cliente su WhatsApp o per non aver controllato a sufficienza le attività di un subappaltatore.

A livello sovranazionaleAnche la Corte di giustizia dell'Unione europea fornisce chiarimenti, in particolare per quanto riguarda il risarcimento alle vittime.

Se alla persona è richiesto di provare l'esistenza di un danno causato da una violazione dei dati, tale danno non deve raggiungere un certo grado di gravità (causa C-300/21, causa C-590/22).

Pertanto, il timore di una persona che i propri dati personali siano stati divulgati a terzi può far sorgere un diritto al risarcimento, a condizione che la persona fornisca prova del proprio timore, con le relative conseguenze negative (causa C 340/21, causa C 687/21, causa C-590/22).

La Corte di giustizia dell'Unione europea ha inoltre stabilito che il risarcimento per il danno morale causato dal furto di dati personali non si limita ai casi in cui si dimostri che si sia effettivamente verificato un furto d'identità.

Pertanto, il danno risarcibile può sussistere anche in assenza di accertamento di furto d'identità (cause C 182/22 e C 189/22).

Con lo sviluppo di azioni collettive, le aziende che non prendono sul serio i rischi di violazione dei dati si espongono non solo a sanzioni da parte della CNIL, ma anche ad azioni legali da parte di singoli individui.

 

 

Giovedì sera, 20 marzo, l'Assemblea nazionale ha votato a favore del mantenimento della riservatezza dei servizi di messaggistica crittografata..

Il provvedimento prevedeva la possibilità di obbligare queste piattaforme di messaggistica (Signal, WhatsApp, ecc.) a comunicare ai servizi di intelligence le comunicazioni dei trafficanti.

"La scorsa settimana, i membri del parlamento hanno ritirato in commissione legislativa questo provvedimento, contro il quale si erano schierati numerosi esperti e operatori della sicurezza informatica. A loro avviso, sussiste un rischio troppo elevato di creare una vulnerabilità che metterebbe a repentaglio le conversazioni di tutti gli utenti di queste piattaforme."

Affinché i professionisti interessati possano prepararsi alle prossime consultazioni o discussioni, la CNIL ha presentato il 27 marzo il programma di lavoro e le linee guida che intende adottare nel 2025.

Tra gli argomenti trattati figurano guide pratiche sull'intelligenza artificiale, bozze di documenti di riferimento riguardanti i subappaltatori, la sanità, il settore bancario, i periodi di conservazione dei dati nei settori del marketing e delle risorse umane, tre bozze di raccomandazioni sul consenso "multi-dispositivo", i pixel nelle e-mail e l'economia degli anziani; infine, la CNIL proseguirà il suo lavoro sulle dashcam e il porta a porta politico.

Decisione della CNIL che autorizza, a determinate condizioni, l'Agenzia europea per i medicinali ad accedere a estratti di dati dal SNDS nell'ambito del progetto DARWIN. (Rete di analisi dei dati e interrogazione nel mondo reale) UE, è stato pubblicato su Légifrance.

La Commissione critica la scelta di un fornitore di servizi di hosting soggetto al diritto extraterritoriale, che lo espone al rischio di comunicazione di dati sensibili a potenze straniere, ma che ciononostante autorizza il trattamento per un periodo limitato a tre anni per il campione di dati e a un anno dalla pubblicazione dello studio.

Con una decisione del 28 marzo, l'autorità francese garante della concorrenza ha multato Apple per 150 milioni di euro. "per abuso di posizione dominante nel settore della distribuzione di applicazioni mobili su dispositivi iOS e iPadOS."

La misura si rivolge in particolare all'App Tracking Transparency (ATT) di Apple, che consente agli utenti di scegliere facilmente se abilitare o meno il tracciamento da parte di terze parti.

L'autorità ritiene che il quadro normativo in sé "non sia fondamentalmente problematico", ma sottolinea che l'ATT rende eccessivamente complesso l'utilizzo di applicazioni di terze parti nell'ambiente iOS, richiedendo molteplici finestre pop-up di consenso.

La proposta penalizzerebbe in particolare gli editori più piccoli, "che dipendono in larga misura dalla raccolta di dati da parte di terzi per finanziare la propria attività".

Con una decisione datata 1° aprile, Il Consiglio di Stato si è pronunciato sul blocco di TikTok in Nuova Caledonia durante le rivolte della scorsa primavera.

Sebbene ritenga che in questo caso specifico non sussistessero le condizioni di validità, stabilisce comunque le condizioni in base alle quali un blocco di un social network potrebbe essere lecito, giudicando che l'autorità amministrativa «può (...) ricorrere a tale misura [di blocco], in circostanze eccezionali, se è essenziale per far fronte alle esigenze del momento».

La misura dovrebbe essere:

• Indispensabile per affrontare eventi particolarmente gravi;
• Senza alcun mezzo tecnico che consenta l'attuazione immediata di misure alternative;
• E assunti "per un periodo limitato, necessario per la ricerca e l'attuazione di queste misure alternative".

 

Con sentenza del 26 marzo, la sezione sociale della Corte di Cassazione ha confermato il diritto di una dipendente di ottenere una copia parziale delle buste paga di alcuni suoi colleghi, al fine di dimostrare un trattamento iniquo. nel suo percorso di carriera.

La Corte ribadisce il principio di minimizzazione dei dati e precisa che è responsabilità del giudice di primo grado "garantire che le informazioni, che egli stesso indicherà come soggette a divulgazione, siano adeguate, pertinenti e strettamente limitate a quanto essenziale per il confronto tra i dipendenti, tenendo conto dei presunti motivi di discriminazione".

 

istituzioni e organismi europei

Politico ha annunciato in un articolo del 3 aprile che La Commissione europea prevede di presentare nelle prossime settimane una proposta per semplificare il GDPR..

Secondo la pubblicazione, questa è "una delle priorità della Presidente della Commissione europea, Ursula von der Leyen, che sta cercando di rendere le aziende del Vecchio Continente più competitive rispetto alle loro rivali negli Stati Uniti, in Cina e altrove".

Il 1° aprile, la Commissione ha presentato la sua tabella di marcia per una "nuova strategia europea per la sicurezza interna" denominata ProtectEU, che mira in particolare ad ampliare i poteri di Europol e Frontex.

La Commissione effettuerà una valutazione dell'impatto delle norme sulla conservazione dei dati a livello UE e predisporrà una tabella di marcia tecnologica sulla crittografia, "al fine di individuare e valutare soluzioni tecnologiche che consentano alle forze dell'ordine di accedere legalmente ai dati crittografati, salvaguardando al contempo la sicurezza informatica e i diritti fondamentali".

L'Avvocato generale della Corte di giustizia dell'Unione europea (CGUE), nelle sue conclusioni del 27 marzo, ritiene che WhatsApp, essendo direttamente interessata, possa impugnare la decisione vincolante del Comitato europeo per la protezione dei dati (EDPB) dinanzi alla Corte di giustizia dell'Unione europea ai sensi dell'articolo 263 del TFUE.

Si ricorda che, a seguito della decisione dell'EDPB del 28 luglio 2021, nell'ambito del meccanismo di coerenza del GDPR, la Commissione irlandese per la protezione dei dati ha adottato una decisione in cui ha accertato le violazioni, imponendo misure correttive e sanzioni amministrative per un importo complessivo di 225 milioni di euro.

WhatsApp aveva impugnato la decisione dell'EDPB dinanzi alla Corte europea e, parallelamente, la decisione definitiva di esecuzione dell'Autorità irlandese per la protezione dei dati (APD) dinanzi a un tribunale irlandese.

L'Assemblea Generale ha inoltre ritenuto, nella stessa giornata, che l'invio di una newsletter quotidiana costituisca "marketing diretto" per "prodotti o servizi simili" ai sensi della Direttiva ePrivacy, e ha considerato che, laddove il trattamento dei dati personali sia lecito sulla base di tale disposizione, l'articolo 6 del GDPR non sia applicabile: laddove esista una disposizione specifica nella Direttiva ePrivacy che comporti obblighi aventi lo stesso obiettivo delle corrispondenti disposizioni del GDPR, è la disposizione relativa alla "ePrivacy" che deve essere applicata.

Il 20 marzo, la Corte ha finalmente stabilito che il GDPR conferisce agli interessati il diritto a un'ingiunzione in caso di trattamento illecito dei dati. Tale opzione preventiva di richiedere un'ingiunzione non attenua il risarcimento dei danni non patrimoniali derivanti da tale trattamento illecito.

Il 13 marzo la Corte di giustizia dell'Unione europea ha stabilito che l'articolo 16 del GDPR impone la rettifica del sesso di una persona transgender registrato in modo errato in un registro pubblico.

Sebbene l'autorità competente possa richiedere la prova dell'inesattezza, obbligare la persona interessata a dimostrare di essersi sottoposta a un intervento chirurgico di riassegnazione del sesso costituisce una violazione dei suoi diritti umani.

 

Notizie dai paesi membri dell'Unione europea.

In Germania, la Corte federale di giustizia ha confermato il risarcimento di 500 euro a favore di un querelante per danni non patrimoniali subiti a causa di un pregiudizio alla sua reputazione. ai sensi dell'articolo 82 del GDPR.

Inoltre, ha stabilito che un tribunale non può tenere conto né della gravità della violazione del GDPR né della questione della colpa nel determinare l'ammontare del risarcimento danni.

L'Autorità austriaca per la protezione dei dati (APD) ha ordinato la distruzione di immagini scattate da un fotografo per violazione del GDPR..

Il fotografo aveva pubblicato su un sito web pubblico immagini scattate in strada a persone identificabili, in particolare bambini e donne, in contesti delicati, senza una valida base giuridica né garanzie sufficienti (informazione, diritto di opposizione).

L'associazione Noyb ha appena subito una battuta d'arresto dinanzi alla Corte d'appello di Bruxelles..

In una sentenza del 19 marzo, la corte ha stabilito che...Le denunce presentate dall'associazione devono dimostrare un interesse personale da parte della persona interessata..

In questo caso specifico, il Tribunale del Mercato indica di non aver riscontrato alcuna giustificazione per tale interesse da parte dei ricorrenti in merito alle violazioni delle norme relative ai cookie.

Tra le altre cose, la giudice menziona che Noyb non ha mai affermato, nel corso del procedimento, che i querelanti fossero visitatori abituali o anche solo occasionali dei siti web/giornali in questione.

Anche in Belgio una sauna erotica ha ricevuto un richiamo dalla sezione contenzioso dell'APD, in particolare per aver mantenuto un guestbook online che consentiva la diffusione pubblica di dati sensibili riguardanti i clienti.

L'APD ha rilevato una mancanza di trasparenza nell'informativa sulla privacy, l'assenza di una base giuridica per il trattamento dei dati e la mancata osservanza degli obblighi relativi al registro delle attività di trattamento.

In Spagna, l'APD ha multato una banca per 3.500.000 euro per un grave difetto di progettazione in un'applicazione bancaria che consentiva ai clienti di accedere a conti per i quali non erano autorizzati.

Una compagnia assicurativa è stata inoltre multata di 1.000.000 di euro per un errore di programmazione che ha comportato l'invio tramite e-mail a 354 aziende destinatarie dei dati personali, inclusi dati sensibili, di 3.395 persone.

In Grecia, l'Autorità garante della protezione dei dati (APD) ha multato una banca per 3.000 euro per non aver implementato adeguate misure di sicurezza a seguito di una violazione interna dei dati.

Un dipendente, dopo aver lasciato l'azienda, aveva mantenuto indebitamente i diritti di amministratore e aveva avuto accesso, senza autorizzazione, ai dati di oltre 6.000 altri dipendenti.

Una decisione analoga è stata presa anche dal Garante per la protezione dei dati personali (APD).

In un caso di spam via SMS, l'Autorità greca per la protezione dei dati (APD) ha chiesto all'autorità nazionale per i nomi a dominio di sospendere il nome a dominio della società in questione, in quanto tale nome a dominio veniva utilizzato in malafede o in modo contrario all'ordine pubblico.

Nota che a livello di ICANN, i registrar hanno "sospeso 2.528 nomi di dominio e disabilitato 328 siti web utilizzati per operazioni di phishing" nell'ambito degli sforzi volti ad attuare misure di conformità.

L'Autorità Garante per la protezione dei dati personali (APD) ha multato una società energetica per 300.000 euro per il trattamento illecito di dati personali a fini di marketing diretto, per la mancata corretta applicazione dei principi di protezione dei dati e per non aver informato adeguatamente i candidati al lavoro sul trattamento dei loro dati.

Il Tribunale amministrativo del Lussemburgo ha confermato la multa di 746.000.000 di euro inflitta nel 2021 dall'APD a una filiale di Amazon per il trattamento illecito dei dati dei visitatori del sito web a fini di pubblicità basata sugli interessi, per la mancata fornitura di informazioni trasparenti e per la violazione di diversi diritti degli interessati.

Sebbene Amazon stia valutando la possibilità di presentare ricorso, l'APD ha dichiarato che non fornirà alcun dettaglio sulla sua decisione durante il periodo di appello né su eventuali procedimenti futuri.

L'Autorità polacca per la protezione dei dati (APD) ha multato il servizio postale per 6,3 milioni di euro per aver eseguito una richiesta di trattamento dati governativa riguardante 30 milioni di cittadini nel contesto delle elezioni tenutesi durante la pandemia di Covid, senza verificare la base giuridica della richiesta. 

La Poste avrebbe dovuto attendere che tutte le vie di ricorso contro questa decisione fossero state esaurite, decisione che è stata poi ribaltata dai tribunali.

 

Il 17 marzo è entrata in vigore nel Regno Unito la legge sulla sicurezza online (Online Safety Act), che impone alle piattaforme online di attuare una serie di misure volte a ridurre i rischi per i minori e a rimuovere i contenuti dannosi in generale.

I fornitori di servizi britannici hanno tempo fino al 16 marzo per effettuare le valutazioni del rischio relative ai propri servizi.

L'autorità di regolamentazione del Regno Unito (Ofcom) ha sviluppato un codice di buone pratiche e un programma di attuazione.

I critici di questa legge ne contestano in particolare la portata, che si estende ad aree grigie come le molestie o il controllo del comportamento, e i conseguenti rischi di censura.

Questa legge si aggiunge ad altre due normative britanniche che potrebbero compromettere il rinnovo della decisione di adeguatezza del Regno Unito a giugno: una nota pubblicata dal Servizio di ricerca del Parlamento europeo fa riferimento al Data Bill e a un emendamento all'Investigatory Powers Act, entrambi volti ad ampliare l'accesso del governo e delle forze dell'ordine ai dati degli utenti.

Il 19 marzo, l'Ufficio del Commissario australiano per l'informazione ha pubblicato uno studio sulle politiche e le pratiche degli enti del settore pubblico australiano in merito all'utilizzo delle applicazioni di messaggistica.

Il rapporto rileva che le applicazioni di messaggistica sono comunemente utilizzate nella pubblica amministrazione australiana senza un'adeguata supervisione o procedure specifiche. Lo studio presenta un elenco di raccomandazioni per affrontare questo problema.

Il Garante canadese della privacy ha appena pubblicato uno strumento per valutare se una violazione dei dati personali rappresenti un rischio reale di danno significativo per gli individui.

In Cina, l'Ufficio nazionale per l'informazione su Internet ha pubblicato il 13 marzo le misure di gestione della sicurezza per l'applicazione delle tecnologie biometriche, che richiedono che le attività di riconoscimento facciale siano conformi alle leggi vigenti, adottino misure di sicurezza e riducano al minimo l'impatto sui diritti umani.

Il quotidiano tedesco Der Spiegel ha annunciato il 26 marzo di essere riuscito ad accedere a dati personali, informazioni di contatto online e persino password di alcuni dei più alti funzionari della sicurezza americani, tra cui il Segretario alla Difesa e l'ex conduttore di Fox News Pete Hegseth.

I giornalisti hanno utilizzato motori di ricerca pubblici, nonché "dati dei clienti ottenuti illegalmente" e pubblicati online.

Si ritiene che anche il consigliere per la sicurezza nazionale Mike Waltz e la direttrice dell'intelligence nazionale Tulsi Gabbard siano tra coloro le cui informazioni sono state divulgate online.

Anche negli Stati Uniti la regolamentazione dell'IA sta aumentando significativamente: nel 2024 sono stati individuati oltre 600 progetti di legge relativi all'IA, di cui quasi 100 sono stati promulgati.

Tuttavia, il livello di protezione varia notevolmente da stato a stato.

Uno strumento di monitoraggio offerto dal sito web "Multistate" consente di visualizzare lo stato delle normative nel 2025.

Nel frattempo, il 18 marzo, il presidente Trump ha licenziato i due membri democratici della Federal Trade Commission (FTC), aumentando l'attuale incertezza sull'efficacia dei meccanismi di tutela e controllo dei consumatori negli Stati Uniti e indebolendo ulteriormente la stabilità dell'accordo transatlantico sulla protezione dei dati.

In Vietnam, la legge sulla protezione dei dati potrebbe essere adottata in primavera.

Il governo ha recentemente adottato una risoluzione per accelerare l'iter legislativo e il Ministero della Pubblica Sicurezza è stato incaricato di presentare il disegno di legge all'Assemblea Nazionale per l'approvazione formale nel maggio 2025.

I generatori di immagini basati sull'intelligenza artificiale avanzata hanno implicazioni significative per la protezione dei dati, come dimostrato da un articolo di L. Jarosvky.

• L'effetto "Ghibli", che permette di creare immagini nello stile dei famosi cartoni animati di Myasaki, ha spinto migliaia di persone negli ultimi giorni a caricare volontariamente i propri volti e foto personali su ChatGPT, offrendo così a OpenAI accesso diretto e gratuito a diverse migliaia di nuovi volti per addestrare i suoi modelli di intelligenza artificiale.
• I generatori di immagini rendono inoltre la creazione di prove false estremamente facile, economica e accessibile. Chiunque abbia intenzioni malevole può quindi creare fatture, documenti d'identità, prove di residenza o persino documenti bancari falsi in pochi minuti e praticamente a costo zero, con il conseguente rischio di furto d'identità.