RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Meta (da cui dipendono Instagram, Facebook, WhatsApp e Messenger) non è ancora conforme al Digital Markets Act

L’articolo Commissione Ue: il modello pubblicitario ‘pay or consent’ di Meta viola il Digital Markets Act fa presente che la Commissione europea ha informato preliminarmente Meta che il suo modello pubblicitario “pay or consent” non è conforme al Digital Markets Act (DMA). Questa scelta binaria costringe gli utenti ad acconsentire alla combinazione dei loro dati personali e non fornisce loro una versione meno personalizzata, ma equivalente, dei social network di Meta.

Oltre al danno subìto per il blocco di Microsoft, ci sono da aspettarsi sanzioni del Garante ove ciò ha causato dei data breach

Secondo l’articolo “CrowdStrike, il Garante avvia accertamenti sugli effetti del blocco informatico”, il recente blackout dei sistemi informatici, causato da un malfunzionamento del software di sicurezza CrowdStrike, potrebbe aver prodotto sui dati personali degli utenti, in particolare nell’utilizzo dei servizi pubblici. Il Garante della privacy, sulla base delle notifiche di data breach già ricevute, ha avviato accertamenti sulle conseguenze che possono aver subìto gli utenti italiani.

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

L’utilizzo dei convertitori PDF online può costituire un serio rischio per la confidenzialità dei documenti

Ci sono online molti utili e ben funzionanti strumenti gratuiti per manipolare file PDF (conversione, riordino, estrazione o inserimento di pagine, unione di più file, ecc.). L’articolo “Attenzione alla privacy con i siti di conversione dei file in pdf: trovati online migliaia di documenti d’identità, certificati, e contratti” ci avverte, però, che questi convertitori possano rappresentare una minaccia in termini di privacy e sicurezza dei dati degli utenti. Infatti sono stati scoperti  oltre 89.000 file PDF in un bucket Amazon S3, liberamente accessibile a chiunque.

L’accesso a questi documenti permettere ai criminali, utilizzando l’identità delle vittime, svariate attività illegali, quali frodi finanziarie, richiesta di prestiti, affitto di proprietà, acquisto di beni costosi, creazione di false identità, accesso a conti bancari.

Tra i servizi compromettenti individuati vi sono “PDF Pro” e ”Help PDF”, i quali direttamente o per falle nella sicurezza, memorizzano gli oggetti delle conversioni.

Disponibili qualificate linee guida sulla crittografia

L’articolo “L’Agenzia per la Cybersicurezza Nazionale aggiorna le linee guida sulla crittografia” informa che l’ACN, ha pubblicato altri approfondimenti sulla crittografia, dedicati alla confidenzialità dei dati e alle tecniche di preparazione alla minaccia quantistica. I nuovi documenti aiutano ad orientarsi tra le specifiche degli algoritmi crittografici e a comprendere meglio il funzionamento dei cifrati e l’interazione con i messaggi da inviare.

Tra le linee guida già pubblicate a dicembre 2023 ci sono indicazioni per la conservazione delle password, che riguardano il modo in cui il fornitore del servizio a cui si accede deve proteggere la password per accedervi; indicazioni sulle funzioni di hash crittografiche, che rendono possibile assicurare l’integrità dei dati, cioè consentono di verificare l’alterazione di un dato o un messaggio, e i codici di autenticazione del messaggio o MAC, che permettono di garantire l’integrità di un messaggio e di verificare l’identità del mittente.

Le “Linee guida Funzioni crittografiche” forniscono delle indicazioni precise per l’impiego degli algoritmi crittografici lungo l’intero ciclo di vita dei sistemi e servizi ICT, in conformità con i principi di sicurezza e tutela della privacy.

PUBBLICITA’ E PRIVACY

Pubblicità mirata, utenti catalogati in base a dati sensibili, ma la possibilità di far valere i propri diritti sulla privacy è pari allo 0%

L’articolo “Pubblicità mirata, utenti catalogati in base a dati sensibili, ma la possibilità di far valere i propri diritti sulla privacy è pari allo 0%” informa che Xandr, un broker pubblicitario controllato da Microsoft, è stato denunciato all’Autorità garante italiana, da “noyb”, la società di “European Center for Digital Rights” fondata dall’avvocato Schrems.

Le imputazioni contestate riguardano la raccolta e condivisione di dettagli personali riguardanti la salute, la sessualità o le opinioni politiche degli utenti, il mancato rispetto del principio di minimizzazione, la mancata “accuratezza” rispetto al principio di esattezza dei dati. Inoltre pare che, almeno nel 2022, Xandr non abbia mai dato seguito alle richieste di accesso e cancellazione dei propri dati personali da parte degli utenti.

Noyb ha chiesto inoltre che venga applicata una sanzione amministrativa efficace, proporzionata e dissuasiva fino al 4% del fatturato annuo.

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

L’intelligenza artificiale nei rapporti di lavoro: quando non espressamente vietata, è soggetta a determinate limitazioni

Secondo l’articolo Intelligenza artificiale e lavoro: controllo umano e trasparenza per non danneggiare i diritti, l’intelligenza artificiale (IA) offre un valido supporto al lavoro umano, offrendo precisione e rapidità, in campi come la sanità (specie nella diagnostica) e nella sicurezza informatica e industriale.

Se utilizzata, per sorveglianza nei luoghi di lavoro, L’artificial Intelligence Act impone limitazioni, in base a una precisa disciplina. Infatti in tale ambito l’IA è considerata ad alto rischio.

Nei rapporti di lavoro, l’IA in certi casi non può essere utilizzata, per esempio per riconoscere ed orientare le emozioni di una persona (salvo motivi medici o di sicurezza), o per distorcerne il comportamento, in base a tecniche subliminali, oppure per valutare e classificare le persone.

In altri ambiti l’IA può essere utilizzata, solo a fronte di determinate condizioni e garanzie. I rischi per i diritti e le libertà degli interessati appaiono elevati nelle fasi di selezione dei candidati o assunzione del personale, di premiazione o di cessazione di un rapporto di lavoro, di individuazione delle caratteristiche e del comportamento delle persone ai fini dell’assegnazione di compiti.

L’AI Act richiede che i sistemi, che utilizzano l’IA per tali finalità, siano verificati e certificati dalle autorità di notificazione appositamente preposte. Inoltre, i sistemi devono essere sempre monitorati dall’uomo e devono essere resi noti i dipendenti attraverso un’adeguata informativa sul funzionamento ed impiego di detti sistemi.

Il monitoraggio dei lavoratori è vietato o, quantomeno, soggetto a determinati rigidi requisiti

L’articolo Garante Privacy, no al software che monitora le prestazioni dei lavoratori in maniera dettagliata riferisce che un’azienda ha subìto una sanzione di 120 mila Euro per aver utilizzato un software che monitora in modo dettagliato le prestazioni dei dipendenti, registrando anche i tempi di inattività con specifiche causali, e un hardware che regola l’accesso al luogo di lavoro mediante il riconoscimento facciale. I punti contestati sono i seguenti.

Il consenso ottenuto dai lavoratori non è valido non trovandosi azienda e dipendenti nelle stesse condizioni di forza (asimmetria tra queste due posizioni).

L’autorità garante non ha affatto ritenuto sufficiente la giustificazione della registrazione delle attività lavorative con la motivazione che “il sistema non fa nessun controllo sulle attività svolte, ma esegue un semplice conteggio del tempo impiegato”. [In effetti data tale vaga motivazione si evincerebbe una violazione del principio di minimizzazione dei dati in riferimento alle finalità del trattamento.

I dati relativi alle attività improduttive, quali riposi, attesa ricambi e molti altri come cambio utensile, cambio attrezzatura, attesa materiale, avviamento macchina, intervento manutentivo, … fanno parte dell’analisi dei Tempi e Metodi, finalizzata ad ottimizzare il processo produttivo, ciò che ha costituito una delle basi del progresso industriale. Non si comprenderebbe quindi  come, invece, questa finalità potesse violare i diritti dei lavoratori, purché non vi si aggiungano valutazioni individuali, specie se automatizzate. Ndr].

I dati biometrici appartengono alle categorie particolari dei dati personali e non possono essere trattati, se non in casi particolari [sanciti dall’Art. 9 del GDPR; ndr], quali l’assolvere degli obblighi e l’esercitare diritti specifici in materia di diritto del lavoro e della protezione sociale. [Tale trattamento sarebbe ammesso dal GDPR anche previo consenso degli interessati, ma come sopra espresso, nel caso dei rapporti di lavoro il Garante non lo ammette. Ndr]. Il Garante non accetta l’utilizzo del riconoscimento facciale solo perché ritenuto, dall’azienda in questione, “strumento di lavoro”, per l’esigenza di compilare le buste paga, senza che si sia fatto ricorso ad un preventivo accordo sindacale. [Infatti, l’articolo 4 dello Statuto dei Lavoratori -Legge 300 del 1970- prevede quanto segue <<Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti.>>. Oltre alla necessità di un accordo sindacale, ovvero di un’autorizzazione dell’INL, nel caso specifico mancherebbe una finalità legittima, quale avrebbe potuto essere l’utilizzo dei dati biometrici per l’identificazione certa del personale autorizzato all’ingresso in determinati ambienti ove fossero elevate le esigenze di sicurezza. Ndr].

Infine costituiscono un’infrazione al GDPR la mancata identificazione della natura e tipologia dei dati trattati  e le modalità e tempi di conservazione.

Il provvedimento definitivo del Garante circa i metadati delle email

L’articolo Trattamento dei metadati, o log di posta elettronica, nell’ambito lavorativo: le indicazioni operative e una check list per gli addetti ai lavori esamina ed interpreta il Provvedimento del Garante del 6 giugno 2024 [in aggiornamento del precedente provvedimento del 21 dicembre 2023; ndt] che ha adottato la versione aggiornata del DOCUMENTO DI INDIRIZZO “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.

Viene premesso che i metadati delle email riguardano le informazioni registrate nei log generati dai sistemi di server di gestione e smistamento della posta elettronica e non vanno confusi con le informazioni contenute nei messaggi di posta elettronica nella loro body-part (corpo del messaggio) o anche in essi integrate a formare la cosiddetta “envelope” (l’insieme delle intestazioni tecniche strutturate che documentano l’instradamento del messaggio, la sua provenienza e altri parametri tecnici). I metadati possono comprendere gli indirizzi e-mail del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati ed anche l’oggetto del messaggio.

Il Garante, facendo riferimento all’Art. 4 dello Statuto dei Lavoratori, afferma che la conservazione dei metadati non dovrebbe in ogni caso superare i 21 giorni, essendo possibile un tempio più ampio solo in presenza di particolari condizioni, comprovando adeguatamente, in applicazione del principio di accountability, le specificità della realtà tecnica e organizzativa del titolare del trattamento.

L’autore propone innanzitutto un’analisi preliminare, per individuare

  • le categorie dei dati personali (il contenuto di cui sopra dei metadati delle email)
  • le finalità del trattamento (a partire dalla sicurezza informatica, per finire nel delicato monitoraggio sistematico degli interessati)
  • la base giuridica del trattamento (ad esempio: legittimo interesse, obbligo legale, esecuzione di un contratto)
  • le categorie dei destinatari (i fornitori dei servizi di posta elettronica)
  • eventuali trasferimenti dei metadati ad un paese terzo (probabili, utilizzando un  servizio cloud gestito da aziende aventi sede extra UE)
  • Il periodo di conservazione (se è stato limitato rispetto alle finalità perseguite).

Quindi, la disamina complessiva del trattamento dovrebbe verificare

  • la sussistenza dei presupposti di liceità, da ricercare nelle esigenze organizzative, produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale, nel caso di monitoraggio e controllo degli interessati, cui si dovrebbero aggiungere, per il suddetto Art. 4, un accordo sindacale o l’ autorizzazione pubblica (dell’Ispettorato Nazionale del Lavoro; ndr)
  • il rispetto del divieto di acquisire e comunque trattare informazioni attinenti alla sfera privata del lavoratore (Art. 8 dello Statuto dei Lavoratori)
  • l’esecuzione di una preventiva valutazione di impatto sulla protezione dei dati personali, richiesta nel caso in cui il trattamento possa produrre rischi elevati per i diritti e le libertà delle persone fisiche (specie in presenza del monitoraggio)
  • l’accessibilità selettiva ai metadati da parte dei soli soggetti autorizzati, adeguatamente istruiti, con tracciatura dei loro accessi
  • le istruzioni al fornitore di servizi e programmi di posta elettronica, finalizzate alla disattivazione delle funzioni non compatibili con le proprie finalità del trattamento [interazione improbabile con servizi di posta elettronica forniti da grandi provider su cloud; ndr]

L’articolo si conclude informando della disponibilità, per i soli associati a Federprivacy però, dello strumento “Check list di verifica dei programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati o log di posta elettronica”.

I dispositivi della domotica connessi ad internet sono soggetti ad attacchi hacker

L’articolo “Smart tv, router e telecamere sono i dispositivi più vulnerabili agli attacchi degli hacker” rivela che da un’indagine di Bitdefender è emerso che le reti domestiche subiscono più di 10 attacchi al giorno contro i dispositivi quali le smart tv (in modo prevalente e con i maggiori rischi privacy), i router e le telecamere per la videosorveglianza, ma anche altri eventuali dispositivi interconnessi.

Viene raccomandato di applicare le correzioni di sicurezza e di utilizzare il software più recente [purtroppo se sono disponibili; ndr].

Google manterrà i cookie di terze parti

Negli anni scorsi, Google aveva più volte annunciato che avrebbe eliminato l’utilizzo dei cookies di terze parti, non appena compreso in che modo combinare le esigenze di utenti, editori e inserzionisti e individuata una soluzione alternativa.

Ma l’articolo “Google fa marcia indietro e dopo anni di rinvii annuncia che non eliminerà più i cookies di tracciamento online dal proprio browser Chrome” informa che adesso, adducendo il fatto che questa transizione avrebbe avuto un impatto su ogni soggetto coinvolto nella pubblicità online e richiesto un lavoro significativo, Google ha deciso di non eliminare i cookies di terze parti, ma di consentire agli utenti di fare una scelta informata che si applica a tutta la loro navigazione web e che potrà essere modificata in qualsiasi momento. Questo nuovo approccio dovrà essere discusso con gli enti regolatori.

IN BREVE, DALL’ITALIA E DAL MONDO

Il Regolamento, adottato da ACN con Decreto Direttoriale n. 21007/24 del 27 giugno 2024, per la Pubblica Amministrazione

L’articolo Il nuovo Regolamento per il cloud nelle pubbliche amministrazioni in vigore dal 1° agosto è ad uso chi chi, nella pubblica Amministrazione, si occupa di sicurezza e/o gestione informatica e di gestione amministrativa. Può essere letto direttamente dal link fornito.

Il Privacy Day Forum in streaming

Per chi è interessato alle relazioni presentate nel corso del Privacy Day Forum il 7 giugno scorso, l’articolo “Privacy Day Forum 2024, i video integrali degli interventi nella sessione plenaria”. mette a disposizione i link per poter vedere i numerosi video che sono stati registrati durante l’evento.

Linee guida per il rispetto del GDPR da parte degli Ordini professionali

Come enuncia il titolo stesso dell’articolo “Dal Consiglio Nazionale dei Commercialisti le ‘Linee guida per l’adempimento degli obblighi privacy negli Ordini professionali’”, è disponibile online il documento “Linee guida per l’adempimento degli obblighi privacy negli Ordini professionali“, che si prefigge lo scopo di fornire soluzioni specifiche a problematiche ricorrenti nella gestione degli adempimenti privacy da parte degli Ordini, anche attraverso la modulistica riportata nell’appendice.

Dal 2 febbraio 2025 i primi obblighi conseguenti alla pubblicazione dell’Artificial Intelligence Act

Il Regolamento Ue 2024/1689, noto “AI Act” (Artificial Intelligence Act), già approvato lo scorso maggio dal Consiglio europeo, è stato adesso pubblicato in Gazzetta Ufficiale dell’Unione Europea del 12 luglio 2024 e si applicherà integralmente a decorrere dal 2 agosto 2026, seguendo però un cronoprogramma anticipato per l’operatività e per la regolarizzazione dei sistemi di intelligenza artificiale già in uso.

L’articolo “Pubblicato in Gazzetta Ufficiale dell’UE il Regolamento sull’intelligenza artificiale” spiega che questo regolamento intende garantire un’intelligenza artificiale finalizzata all’uomo, tutelando i diritti fondamentali degli individui dai potenziali effetti pregiudizievoli derivanti dall’utilizzo dell’IA, ma volendo comunque promuovere un contesto di fiducia nei consumatori per tali sistemi attraverso meccanismi, in modo da favorirne la diffusione, e prevedendo alcuni istituti per facilitarne l’implementazione.

In generale, il regolamento stabilisce:

  1. regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di IA nell’Unione
  2. divieti di talune pratiche di IA
  3. requisiti specifici per i sistemi di IA ad alto rischio e obblighi per gli operatori di tali sistemi
  4. regole di trasparenza armonizzate per determinati sistemi di IA
  5. regole armonizzate per l’immissione sul mercato di modelli di IA per finalità generali
  6. regole in materia di monitoraggio e vigilanza del mercato, governance ed esecuzione
  7. misure a sostegno dell’innovazione, con attenzione alle PMI, comprese le start-up.

Il cronoprogramma prevede le seguenti tempistiche applicative:

  • dal 2 febbraio 2025:  definizioni e pratiche vietate
  • dal 2 agosto 2025: autorità di notifica designate dagli stati membri, modelli di AI per finalità generali, banca dati UE per i sistemi ad alto rischio, sanzioni, riservatezza dei dati trattati in conformità al regolamento
  • dal 2 agosto 2027: classificazione dei sistemi ad alto rischio ed i corrispondenti obblighi.

[In realtà la “scaletta” è un po’ più dettagliata e corrisponde a 

20 giorni dopo la pubblicazione nella Gazzetta ufficiale ==> Entrata in vigore della legge

6 mesi ==> Divieto sui sistemi di IA con rischio inaccettabile

9 mesi ==> Applicazione dei codici di condotta

12 mesi ==> Applicazione delle regole di governance e degli obblighi per l’AI di scopo generale

24 mesi ==> Inizio dell’applicazione dell’AI Act per i sistemi di IA (incluso l’Allegato III)

36 mesi ==> Applicazione dell’intero Regolamento per tutte le categorie di rischio (incluso l’Allegato II)

Ndr]

L’articolo “Pubblicato in Gazzetta Ufficiale il Dlgs 103/2024: tutelate dal Gdpr le imprese messe sotto torchio dai controlli delle PA sulle attività economiche” informa circa la pubblicazione del decreto in titolo, in vigore dal 2 agosto 2024. Secondo il decreto, per la valutazione, da parte di una Pubblica Amministrazione, della conformità, alle leggi di settore, di un’attività produttiva di un’azienda, è necessario, se la valutazione è attuata attraverso algoritmi o intelligenza artificiale, che all’impresa siano fornite le informazioni su come funziona l’algoritmo e le deve essere garantito il diritto a essere sentita da un funzionario. Il decreto estende così alle persone giuridiche i requisiti previsti dal DPR, che di per sé si applica alle persone fisiche.

Le imprese non potranno presentare reclami al Garante della privacy, però potranno far valere le proprie prerogative impugnando gli atti sanzionatori delle PA.

Più facile per le associazioni difendere i diritti alla privacy degli interessati

Secondo l’articolo “Corte di Giustizia UE: via libera alle azioni in rappresentanza degli interessati per violazioni della privacy”, a fronte di una sentenza che ha coinvolto Meta in Germania, la Corte di Giustizia europea ha chiarito che l’omissione dell’informativa privacy costituisce una violazione del tipo considerato dall’Articolo 80 del GDPR e che le associazioni possono proporre reclami e ricorsi, indipendentemente dal mandato conferito da uno specifico interessato.

Un altro orientamento della Corte di giustizia europea afferma che le associazioni possono proporre le loro azioni senza che sia necessario provare un danno reale subìto in un caso concreto da un determinato interessato [in altre sentenze, per quanto riguarda la richiesta di risarcimenti, è stato invece sostenuto il contrario].

La Legge 90/2024 sulla Cybersicurezza e compliance integrata

Questa legge, pubblicata lo scorso giugno 2024, contiene le due seguenti disposizioni primarie

  • in materia di rafforzamento della cybersicurezza nazionale, di resilienza delle pubbliche amministrazioni e del settore finanziario, di personale e funzionamento dell’Agenzia per la cybersicurezza nazionale e degli organismi di informazione per la sicurezza nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici
  • prevenzione e contrasto dei reati informatici, nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche dati in uso presso gli uffici giudiziari.

L’articolo “Legge 90/2024 sulla Cybersicurezza e compliance integrata: gli impatti su Modello 231 e privacy” spiega che la legge mira ad aumentare la sicurezza informatica per difendersi dai cyber-attacchi, aumentando le sanzioni previste per i c.d. “computer crimes”. Da un lato sono previsti accrescimenti delle pene e, dall’altro, la definizione di nuovi reati informatici, anche con impatti in materia di responsabilità amministrativa degli ex D.lgs. n. 231/2001. Ciò rende opportuno, da parte degli enti, un aggiornamento dei Modelli di Organizzazione e Gestione e dell’eventuale Modello Privacy per sollevare gli enti stessi da delitti informatici commessi da singoli dipendenti. Ed è altresì importante l’adozione di

  • procedure interne per assicurare la sicurezza dei sistemi informatici prevedendo, ad esempio, rigide misure di segregazione degli accessi logici;
  • sistemi di monitoraggio continuo per identificare tempestivamente eventuali minacce o violazioni;
  • programmi di formazione per sensibilizzare i dipendenti in materia di responsabilità amministrativa degli enti.

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Garante Privacy: sanzioni per 8 milioni di euro lo scorso anno con 634 provvedimenti collegiali e 2.037 data breach notificati. Questo evidenzia ancora una volta quanto sia indispensabile poter dimostrare di aver fatto il massimo, in termini di misure tecnico-organizzative per la riduzione dei rischi di violazioni, allo scopo di evitare o minimizzare le sanzioni in caso si sia vittime di attacchi hacker.
  • A inizio 2024, un gruppo di hacker russi ha compromesso i sistemi di Microsoft, ottenendo accesso non autorizzato alle email di un numero imprecisato di clienti.
  • Videosorveglianza, sanzionato il comune che ricorre alle nuove tecnologie senza fare prima le valutazioni dei rischi.
  • Sanzionata Vinted, la nota piattaforma online di abbigliamento di seconda mano con oltre 100 milioni di utenti in tutto il mondo, per non aver dato seguito alla richiesta di cancellazione dei propri dati personali da parte degli interessati.
  • Scoperto in un forum di hacking un file contenente quasi 10 miliardi di password uniche in chiaro, rubate tramite accesso ad oltre 4.000 database durante gli ultimi 20 anni. Combinando le password con altre informazioni (ad esempio gli indirizzi email) è possibile accedere agli account dei servizi online. Se si scopre che la sicurezza delle proprie credenziali può essere compromessa, si devono cambiare le password in tutti gli account in cui sono utilizzate, scegliendo combinazioni robuste e uniche (password diverse fra i vari account), ed è in ogni caso consigliata consigliata l’attivazione dell’autenticazione a due fattori.
  • Attacco hacker a Ticketmaster, trafugati centinaia di migliaia di biglietti e violati i dati personali di 560 milioni di utenti.
  • ClearviewAI, che aveva raccolto immagini di volti di miliardi di persone e le aveva messe in vendita, ha raggiunto un accordo per chiudere dodici class action contro di essa. Le sue azioni finiranno in vendita e i risarcimenti ammonteranno a cifre irrisorie e destinate solo ai cittadini USA che dimostreranno che il proprio volto è stato utilizzato. In Italia Il Garante si è limitato alla sanzione senza alcuna ingiunzione di risarcimento [poiché spetta al tribunale a fronte di una causa intentata allo scopo]
  • La piattaforma X (già Twitter) è sotto indagine da parte della Commissione europea per mancanze circa gli obblighi di trasparenza riguardanti la pubblicità (utilizzo di schemi poco chiari per ingannare gli utenti) e gli obblighi di accesso ai dati per i ricercatori e per diffusione di contenuti illegali.
  • L’autorità nigeriana per i diritti dei consumatori ha inflitto a META un multa di 22 milioni di dollari, più le spese legali, contestando la modalità di raccolta dei dati a scopo pubblicitario.

    ing. Michele Lopardo

    Responsabile Qualità @ Wondersys