Cybersecurity: cosa prevede la nuova normativa
La Newsletter dello Studio Previti con le principali notizie settimanali in tema di privacy.
Bocciato lo schema di decreto sulla banca dati nel settore sanitario: per il Garante servono maggiori tutele
L’implementazione dell’Ecosistema Dati Sanitari (in seguito per brevità “EDS”) è previsto dalla riforma del Fascicolo sanitario elettronico con l’obiettivo di garantire il coordinamento informatico ed assicurare servizi omogenei sul territorio nazionale; la sua introduzione determina la costituzione della più grande banca dati sulla salute dell’Italia.
Con provvedimento n. 295 del 22 agosto 2022, il Garante per la protezione dei dati personali italiano (“Garante Privacy”) ha fornito parere negativo al Ministero della salute e al Ministero per l’innovazione tecnologica e la transizione digitale sullo schema di decreto sull’EDS. Ad avviso del Garante Privacy, infatti, tale database raccoglierebbe dati e documenti sanitari relativi a tutte le prestazioni sanitarie erogate sul territorio nazionale a livello centralizzato, senza garanzie di anonimato per gli assistiti. Considerata la delicatezza della struttura, che realizza un trattamento sistematico su larga scala anche attraverso l’uso di algoritmi di dati particolari ai sensi dell’art. 9 del Regolamento UE 2016/679 (“GDPR”), il Garante Privacy ha quindi chiesto al Ministero di riformulare lo schema di decreto, indicando:
- i contenuti e le modalità di alimentazione della banca dati;
- i diritti riconosciuti alle persone, a partire dalla manifestazione di un consenso libero e informato all’uso dei dati;
- i servizi resi dall’EDS;
- quali tra i soggetti coinvolti potranno essere considerati titolari del trattamento.
Cybersecurity: cosa prevede la normativa di recente introduzione?
È stato pubblicato in Gazzetta Ufficiale il D.Lgs. n. 123/2022. Entrato in vigore il 4 settembre 2022, il decreto legislativo di attuazione del Reg. UE 2019/881, prevede un quadro di certificazione di cybersicurezza e misure volte ad adeguare la normativa nazionale al nuovo quadro europeo di certificazione della cybersicurezza.
Il Decreto si inserisce nel quadro europeo fissato dal predetto Regolamento europeo, c.d. Cyber Act, andando a costituire una cornice normativa europea per la certificazione della sicurezza di prodotti, servizi e processi informatici (cosiddette “TIC”, Tecnologie dell’Informazione e della Comunicazione). Il Decreto individua nell’ “Agenzia Nazionale di Cybersecurity”, l’Autorità preposta al rilascio delle certificazioni di cui all’art. 58 paragrafo 1 del Regolamento in parola. L’Agenzia avrà, altresì, il compito di collaborare con le altre Autorità europee e di vigilare i fini della corretta applicazione delle regole previste dai sistemi europei di certificazione della cybersicurezza, con riferimento ai certificati e alle dichiarazioni UE di conformità emessi nel territorio dello Stato. A tal fine, il Decreto individua tre diversi livelli di affidabilità: affidabilità di base, affidabilità sostanziale ed infine affidabilità elevata.
L’Intelligenza Artificiale al centro del dibattito delle Autorità Garanti del G7
In data 7 e 8 settembre le Autorità per la protezione dei dati e la privacy dei paesi membri del G7 (in seguito le “Autorità”) si sono incontrate sotto la presidenza del Commissario federale tedesco per la protezione dei dati e la libertà di informazione per discutere delle attuali questioni normative e tecnologiche degli sviluppi nel contesto del "Data Free Flows with Trust (DFFT)".
Secondo quanto comunicato dal Garante Privacy italiano, la tavola rotonda ha avuto come scopo quello di condividere le conoscenze sulle prospettive di "spazi di dati internazionali" e sugli strumenti per il trasferimento internazionale dei dati, inclusa la certificazione; le tecnologie di miglioramento della privacy (PET); gli standard di anonimizzazione; il rafforzamento dei principi di minimizzazione dei dati per affrontare le sfide della sorveglianza commerciale; il ruolo delle Autorità nella definizione e nella promozione di un modello etico e culturale per la governance dell'Intelligenza Artificale (IA), specie alla luce dei recenti emendamenti che hanno interessato la proposta di Regolamento europeo. Proprio in relazione a tale tema, il Garante Privacy italiano ha proposto che, nel documento finale, venisse evidenziato “il rifiuto di un uso indiscriminato dell'IA applicata ai dati personali che porti a forme di sorveglianza massiva con l'evidente scopo di controllare e manipolare i comportamenti degli individui a partire dai dati personali, raccolti, analizzati e incrociati in grandi quantità, varietà e velocità”.
PNRR e Intelligenza Artificiale: le raccomandazioni del Garante privacy
Nel suo intervento al convegno "PNRR occasione di sviluppo. Quali controlli e quale contributo della giustizia amministrativa", il Presidente del Garante per la protezione dei dati personali, Pasquale Stanzione, ha evidenziato come il Piano nazionale di ripresa e resilienza rappresenti un'occasione storica per il rilancio del sistema-Paese.
Con un comunicato stampa, pubblicato il 12 settembre, è stata resa nota la partecipazione del Presidente al convegno, durante il quale non si è fatto attendere un proficuo confronto su temi caldi, quale quello correlato all’intelligenza artificiale e al divenire della normativa sul punto.
La consistente mole di dati gestita dalle Pubbliche amministrazioni deve, infatti, formarsi secondo criteri di selettività, funzionalità istituzionale e qualità."Necessaria, infatti non è tanto e non è solo, genericamente, una maggior quantità di dati, ma dati migliori, esatti, pertinenti, aggiornati".
Particolare attenzione merita la sostenibilità del governo degli algoritmi. In attesa dell’ “Artificial Intelligence Act”, sono il GDPR e la direttiva 2016/680 a disciplinare la trasparenza algoritmica. Di qui la necessità che tutte le decisioni che abbiano effetti significativi sulla persona non possono essere esclusivamente rimesse ad un algoritmo. Non solo, è fondamentale che l’interessato sia messo nelle condizioni di conoscere la logica sottesa alla decisione algoritmica e, nel caso, di contestarne l’esito.
Stop all’abuso di dipendenza economica nel settore delle piattaforme digitali: quali novità?
La Legge annuale per il mercato e la concorrenza 2021 (“Legge concorrenza 2021”), pubblicata il 12 agosto 2022, ed entrata in parte in vigore il 27 agosto 2022, riforma e modernizza l’istituto del contrasto all’abuso di dipendenza economica, adattando la disciplina vigente alla dinamica dei mercati digitali.
Con le novità pubblicate nella Gazzetta Ufficiale n. 188 (L. 118/2022), la Legge concorrenza 2021 ha ulteriormente introdotto norme di contrasto all’abuso di dipendenza economica. La disciplina, attualmente contenuta nella Legge 18 giugno 1998, n. 192 (“Legge sulla subfornitura”) subisce, così, un’importante re-styling. Tra le modifiche più rilevanti si segnala l’introduzione, al comma 2 dell’articolo 9 della Legge sulla subfornitura, di un elenco esemplificativo di pratiche abusive, tra le quali vi sono quelle che possono “consistere anche nel fornire informazioni o dati insufficienti in merito all'ambito o alla qualità del servizio erogato e nel richiedere indebite prestazioni unilaterali non giustificate dalla natura o dal contenuto dell’attività svolta, ovvero nell'adottare pratiche che inibiscono od ostacolano l'utilizzo di diverso fornitore per il medesimo servizio, anche attraverso l'applicazione di condizioni unilaterali o costi aggiuntivi non previsti dagli accordi contrattuali o dalle licenze in essere”.
Vigilanza sui servizi fiduciari qualificati, PEC, SPID, conservazione a norma: online il report dell’AGID
Il report “Vigilanza sui servizi fiduciari qualificati, PEC, Spid, conservazione a norma”, pubblicato dall’Agenzia per l’Italia Digitale (“AGID”) lo scorso 7 settembre, illustra le attività di vigilanza svolte nel 2021 dall’Autorità in base a quanto previsto dal Codice dell’Amministrazione Digitale (“CAD”).
Il Report, giunto alla quinta edizione, rende conto delle attività svolte dall’Agenzia per l’Italia Digitale nel 2021, informando gli stakeholder e il pubblico sui temi più rilevanti trattati nell’anno trascorso, sui problemi riscontrati e sui principali risultati. In base a quanto emerso dal Report, il 2021 ha rappresentato un anno di svolta per i servizi digitali del Paese, con un contesto fortemente mutato: il 31 dicembre 2021 erano attivi oltre 29 milioni di certificati qualificati di firma e 27 milioni di identità digitali SPID (ad oggi sono oltre 31,7 milioni), valori raddoppiati rispetto al 2020 e quintuplicati rispetto al 2019. AGID ha, inoltre, condotto diverse verifiche ispettive, sia da remoto che on site, con l’apporto delle competenze specialistiche del Nucleo di Prevenzione delle Frodi Tecnologiche della Guardia di Finanza, del Cert-AgID e di auditor specializzati per gli aspetti prevalentemente metodologici.
Lo scandalo “Cambridge Analytica” arriva in Brasile: Facebook sanzionata per 1,25 milioni di euro
I dati degli utenti brasiliani erano stati trasmessi nel 2018 alla società di consulenza di marketing politico Cambridge Analytica, divenuta famosa a livello mondiale per l’omonimo scandalo che aveva coinvolto Facebook, ingaggiata per supportare Donald Trump nella campagna elettorale statunitense. Secondo il ministero della Giustizia e della Pubblica Sicurezza, tra gli 87 milioni di account di utenti brasiliani che erano stati esposti alla violazione dei dati personali, sarebbero stati 443.000 gli account a cui erano stati inviati contenuti politici relativi all'allora candidato alla presidenza americana.
In base a quanto comunicato dal Ministero della Giustizia e della Pubblica Sicurezza in una nota del 23 agosto scorso, il colosso di Mark Zuckerberg è stato condannato dal Segretario nazionale dei consumatori brasiliano (“Senacon”) a pagare una multa di 1,25 milioni di euro per l’illegittima comunicazione di dati personali riferiti a utenti brasiliani, nel contesto del caso di Cambridge Analytica. Sanzione che, secondo quanto riferito dal Ministero, potrebbe essere ridotta fino al 25% "nel caso in cui il social network non impugnasse la decisione”. Nel corso dell’indagine, è stato ritenuto che la condivisione illegale di dati sia avvenuta attraverso l'installazione di un’applicazione per il test della personalità, “This Is Your Digital Life”. A seguito della mancata presentazione di informazioni sulle impostazioni sulla privacy, il Senacon aveva concluso che Facebook avesse commesso pratiche abusive nei confronti degli utenti brasiliani e, pertanto, aveva imposto la sanzione.
Irlanda: violata la privacy dei minori, Instagram sanzionata per 405 milioni di euro
La Commissione irlandese per la protezione dei dati, “Irish Data Protection Commission” (in seguito, “DPC”) ha sanzionato la piattaforma di social media per 405 milioni di euro, la somma più alta mai comminata per una società di proprietà di Meta, dopo le recenti sanzioni di 225 milioni di euro a WhatsApp 17 milioni di euro a Facebook. Motivo? La violazione della privacy dei minori, inclusa la pubblicazione di indirizzi e-mail e numeri di telefono.
In una dichiarazione resa nota il 5 settembre, il DPC irlandese ha confermato la sanzione ma ha rifiutato di rilasciare ulteriori dichiarazioni. In attesa di prendere visione del provvedimento – non ancora pubblicato – è stato comunque reso noto che l’indagine era stata avviata nel settembre 2020. In particolare, la DPC intendeva verificare se Meta invocasse un’idonea base giuridica per il trattamento sistematico dei dati personali dei minori, se utilizzasse adeguate protezioni e/o restrizioni sulla piattaforma social, se rispettasse i criteri di trasparenza richiesti dal GDPR e se la piattaforma fosse strutturata per rispondere ai princìpi della privacy by design e privacy by default. L'autorità di regolamentazione irlandese ha imposto la sanzione a seguito dell’attivazione del meccanismo di risoluzione delle controversie che ha coinvolto anche altre autorità europee per la protezione dei dati.
Data retention: quanto costa conservare i dati bancari degli abbonati per oltre 36 mesi?
La Commission Nationale de l'Informatique et des Libertés, Autorità Garante francese (in seguito “CNIL”) ha inflitto una sanzione di 250.000 euro ad una società francese che fornisce servizi online di consultazione del registro commerciale delle imprese francese, per aver violato diversi obblighi previsti dal GDPR in materia di periodo di conservazione e sicurezza dei dati personali.
In base a quanto comunicato dal CNIL in data 13 settembre 2022, la sanzione è stata comminata a seguito di alcune verifiche che hanno portato alla luce diverse carenze relative al trattamento dei dati personali degli utenti del servizio. Si tratta di soggetti che hanno creato un account sul sito internet della società per visualizzare od ordinare un atto o che hanno sottoscritto un abbonamento annuale.
Tra le violazioni riscontrate nel provvedimento, ha ricevuto particolare risonanza quella riferita all’obbligo di conservazione dei dati per un periodo proporzionato alla finalità del trattamento.
Il sito della società sanzionata prevedeva, infatti, che i dati personali dei membri e degli abbonati (costituiti da dati bancari, cognomi, nomi, indirizzi postali ed elettronici, telefono fisso o mobile, domanda segreta e relativa risposta) fossero conservati per 36 mesi dall'ultimo ordine di servizio e/o documento. Tuttavia, la CNIL ha riscontrato che i dati del 25% degli utenti del servizio erano soggetti a un periodo di conservazione addirittura più lungo. Inoltre, l'anonimizzazione veniva effettuata manualmente, su richiesta degli utenti e su un numero molto ristretto di account. L’autorità ha, peraltro, osservato che l'organizzazione non ha imposto l'uso di una password complessa durante la creazione di un account. Non solo: per i 3,7 milioni di utenti, è stato impossibile inserire una password sicura a causa dello “spazio” limitato concesso dal “form” messo a disposizione della società.
Data breach e adozione di misure di sicurezza: pugno duro dell’Autorità di controllo rumena
Il caso nasce in seguito dalla all’istruttoria avviata su segnalazione di un cliente di Enel Energie Muntenia che aveva affermato di aver ricevuto, via email dalla stessa società, una risposta indirizzata ad un altro soggetto, contenente informazioni di carattere personale e riservato.
L’“Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal” (“ANSPDCP”), ha pubblicato, in data 22 agosto 2022, la propria decisione, con la quale ha inflitto una sanzione di 10.000 euro alla predetta società, per violazione dell’art. 32 GDPR nonché un richiamo, per violazione dell’art. 33 del GDPR, per non avere adottato misure di sicurezza adeguate a garantire la protezione dei diritti e delle libertà degli interessati, determinando, dunque, l’invio di informazioni riservate riconducibili ad uno specifico cliente ad un terzo soggetto. L'ANSPDCP ha aggiunto che Enel Energie Muntenia, tra le altre violazioni perpetrate, aveva omesso tanto la notifica dell’incidente di sicurezza all’Autorità quanto la presentazione di prove che consentissero di dimostrare l’adozione di misure correttive “pro futuro”.
A cura dell'Avv. Vincenzo Colarocco e del dipartimento Compliance, media e tecnologia di Studio Previti