PUBBLICITA’ E PRIVACY

Il Digital Service Act rafforza la privacy nell’ambito delle piattaforme digitali, ma in coerenza con i regolamenti esistenti

L’articolo Il Digital Service Act e gli impatti in materia di privacy offre una panoramica circa questo regolamento europeo.

Con la recente approvazione del regolamento sui servizi digitali (Digital Service Act) da parte del Parlamento Europeo, si intende accrescere e armonizzare le responsabilità delle piattaforme online e dei fornitori di servizi d’informazione ed introdurre regole per assicurare l’equità e la contendibilità dei mercati digitali. [in un mercato economico, la “contendibilità” è garantita se le imprese che vi entrano non sono svantaggiate rispetto a quelle già presenti, se non vi sono costi irrecuperabili in caso di uscita e se i tempi di accesso al mercato sono inferiori a quelli di incremento tecnologico per per chi vi è già. Ndr, spiegazioni estese alla relativa pagina Treccani].

Questo regolamento precisa che la protezione delle persone fisiche con riguardo al trattamento dei dati personali resta disciplinata unicamente dalle norme dell’Unione Europea, in primis dal GDPR, e che restano invariate le disposizioni di cui alla direttiva 2002/58/CE, specie quelle riguardanti l’archiviazione di informazioni nell’apparecchiatura terminale e l’accesso a informazioni in essa archiviate.

Ai fini di un monitoraggio efficace del regolamento è previsto uno scambio di informazioni continuo e in tempo reale (oltre che sicuro e affidabile) tra i coordinatori dei servizi digitali e la Commissione.

Il regolamento si dedica anche ai meccanismi pubblicitari e a tutte le forme di marketing e profilazione, da parte dei fornitori di piattaforme online, ai fini di evitare effetti negativi gravi, a scapito di interi gruppi e con impatti sociali.

Il regolamento sottolinea gli obblighi in materia di valutazione e attenuazione dei rischi da parte dei fornitori di piattaforme online e dei motori di ricerca online di dimensioni molto grandi.

Grande attenzione è posta, infine, sulla protezione dei minori, per cui le piattaforme online devono adottare misure adeguate e proporzionate progettando, per default, le loro interfacce con il massimo livello di privacy e sicurezza.

Qualche informazione in più sul Digital Services Act

L’articolo Tutele e divieti del Digital Services Act fornisce maggiori particolari relativamente alle prescrizioni del DSA (Regolamento Ue n. 2022/2065 del 19 ottobre 2022, relativo al mercato unico dei servizi digitali), che sarà in vigore dal 17/02/2024.

Gli operatori commerciali devono dichiarare nome/denominazione, recapiti telefonici/elettronici, altri dati identificativi (numero registro imprese) e devono impegnarsi a promuovere ed offrire solo prodotti o servizi (propri o di terzi) conformi alle norme applicabili del diritto dell’Unione. Le piattaforme online dovranno conservare tutte le informazioni in modo sicuro per la durata del loro rapporto contrattuale con l’operatore commerciale e per i sei mesi successivi. Questo dovrebbe garantire la possibilità di agire contro l’operatore commerciale in caso di suoi presunti illeciti.

Le piattaforme online devono fornire informazioni su quando e per conto di chi sono presentate le pubblicità e devono far sapere la ragione e la logica dei messaggi personalizzati. Ciò, stante la presunta disponibilità degli utenti a ricevere messaggi commerciali a fronte dei servizi gratuiti forniti online.

I fornitori di piattaforme online non devono presentare inserzioni pubblicitarie basate sulla profilazione in base a dati sensibili o categorie speciali di dati personali (cosa prevista dallo stesso GDPR); quindi la pubblicità mirata (targeting) non si deve basare su vulnerabilità o debolezze dell’utente.

Le piattaforme devono informare circa l’ordine (ed i parametri utilizzati per definirlo) con cui sono fornite le informazioni, ad esempio come risposte a ricerche online. Infatti questo ordine, nonché una maggior evidenza visiva di talune informazioni rispetto ad altre possono influenzare le scelte dell’utente.

Le piattaforma utilizzate dai minori devono avere interfacce progettate con il massimo livello di privacy e sicurezza. E’ promossa l’adesione a codici di condotta.

Dato che non è lecito acquisire dati personali oltre le finalità e quindi, in generale, non si deve rilevare l’età degli utenti, si può dedurre che ciò sia da attuarsi per tutti i siti che si possono rivolgere solo ai minori, mentre per quelli destinati esclusivamente ad un pubblico adulto l’età debba essere accertata. In caso di dubbio sull’età controllata, il trattamento non dovrebbe essere effettuato (analogamente nei casi in cui si richiede il consenso).

Le piattaforme online, infine, non devono usare i dark pattern, cioè non devono impiegare trucchetti come il rendere difficile trovare un pulsante per operare una scelta (perché minuscolo, nascosto o accessibile in diversi passaggi), allo scopo di condizionare la scelta stessa, prendendo l’utente “per stanchezza”.

 

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Un approccio più rigoroso se gli interessati al trattamento appartengono a categorie vulnerabili

Indipendentemente dal ruolo del Data Protection Officer, dall’articolo Data Protection Officer e interessati vulnerabili: quali garanzie rafforzare si trae un promemoria di misure da prendere, in base ai principi di accountability e privacy by design e dall’approccio basato sul rischio, quando si trattano dati di categorie “vulnerabili”, quali minori di età, anziani, pazienti, dipendenti, al fine di proteggerli da danni fisici, materiali e immateriali.

  • Redigere una DPIA (valutazione di impatto) e sorvegliarne lo svolgimento, anche in considerazione di uno squilibrio che può ostacolare l’esercizio dei diritti degli interessati. Le linee guida del WP248 forniscono i criteri per l’esecuzione della DPIA.
  • Garantire la trasparenza e l’accessibilità delle informative privacy, tenendo conto dei destinatari.
  • Considerare, nell’analisi dei rischi e nelle definizione delle misure di protezione della sicurezza dei dati, del maggior impatto sui destinatari di eventuali violazioni dei dati personali.
  • Istruire il personale incaricato al trattamento dei dati personali, inclusi eventuali responsabili esterni, attraverso direttive documentate, affinché abbia la consapevolezza della vulnerabilità degli interessati.

Un principio gestionale anglosassone applicato alla protezione dei dati personali

L’articolo Il principio di ‘comply or explain’ applicato alla protezione dei dati personali suggerisce l’applicazione alla gestione dei dati personali del principio di “comply or explain” (utilizzato, specie nel mondo anglosassone, nei regolamenti aziendali).

Tale principio, in sintesi, prevede i seguenti punti:

  • si definiscono regolamenti, procedure e istruzioni (che hanno un diverso livello di gerarchia),
  • chi opera entro l’organizzazione (dipendenti e collaboratori) deve rispettare queste direttive,
  • in caso contrario deve motivare il motivo del mancato rispetto

.Applicando il principio alla protezione dei dati personali, si persegue l’applicazione delle normative pertinenti, attraverso:

  • la definizione delle responsabilità aziendali,
  • le regole per gli incaricati,
  • le procedure in caso di impatto sulla protezione dei dati personali (data breach, richieste degli interessati, …).

E’ suggerito che il personale possa usufruire del supporto del DPO e/ o del Privacy Officer, che riceva una formazione e disponga della documentazione di guida necessaria, possibilmente dotata di esempi. In questo modo gli incaricati al trattamento possono valutare in modo più costruttivo le azioni da prendere, piuttosto che essere vincolato a regole troppo rigide che possono non adattarsi ai casi pratici.

Rispondere alle richieste del Garante della Privacy conviene sempre

Per l’autore dell’articolo Rispondere alle richieste del Garante della Privacy conviene sempre, in caso di richiesta di informazioni e documenti da parte del Garante, è bene rispondente in modo tempestivo ed esauriente, anche se ciò può condurre alla contestazione di una violazione, con avvio di un provvedimento sanzionatorio. In caso contrario è probabile che avvenga un’ispezione a cura della Guardia di Finanza. Inoltre, il Garante, nel momento in cui calcola la sanzione, è tenuto a considerare il grado di cooperazione dimostrato dal titolare del trattamento (Art. 83 del GDPR).

Crittografia per le fatture in ambito legale

Con l’articolo ‘Giusta attenzione per il rispetto della privacy degli assistiti’ degli avvocati con le novità sulla fatturazione elettronica si prende atto di una misura di sicurezza contro gli accessi illegittimi a dati personali. Infatti, l’Agenzia delle Entrate ha previsto, con un recente provvedimento, che per quanto riguarda le fatture emesse da soggetti che operano nel settore legale, le informazioni contenute nella descrizione dell’operazione, data la loro delicatezza, siano memorizzate in modalità cifrata al fine di impedire la lettura degli stessi, in caso di accessi non autorizzati.

 

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Basta la sola protezione di accesso tramite password “non sicura” a far scattare il reato, in caso di violazione dei dati?

Premesso che per “sistema informatico” si intende “qualsiasi apparecchiatura o gruppo di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l’elaborazione automatica dei dati” e che per “sistema telematico” si intende un insieme di apparecchiature che consentono la trasmissione di dati a distanza, il Codice Penale prevede, secondo l’articolo Il reato di accesso abusivo ad un sistema informatico si concretizza solo se è protetto da misure di sicurezza, che “chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza, ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”.

Affinché il reato sia perpetrato, secondo la Corte di Cassazione, è necessario e sufficiente che il sistema non sia aperto a tutti, ma disponga di un qualsiasi meccanismo di abilitazione all’accesso, quale l’adozione di una protezione costituita da una parola chiave (password), anche semplice. Tuttavia, una parte della dottrina giurisprudenziale ritiene che “l’adozione di chiavi di accesso come “pippo” o “ciao” non può essere considerata idonea allo scopo, perché oggettivamente insicura”.

 

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Il consenso al trattamento non va richiesto se non è l’unica base legale

Un consenso al trattamento dei dati personali espresso in assenza di una volontà libera, specifica, informata ed inequivocabile è invalido. In aggiunta, secondo l’autore dell’articolo La richiesta di consensi inutili compromette la compliance al GDPR, se le basi legali del trattamento già si fondano su una diversa base giuridica, la richiesta di consenso è considerata un elemento di confusione e pertanto ingannevole nei confronti degli interessati, da l punto di vista dell’esercizio dei loro diritti.

Si comprende questa asserzione se si pensa che un interessato che ha fornito il consenso può desumere che è sufficiente ritirarlo affinché il trattamento sia interrotto, mentre potrebbe proseguire a fronte delle altre basi giuridiche, a maggior ragione quando queste sono costituite da un obbligo legale.

Inoltre, se il consenso fosse richiesto senza esplicitare le altre basi legali, verrebbe anche a mancare la trasparenza dell’informazione.

In questi casi, l’organizzazione sarebbe inadempiente nei confronti dei principi di liceità e correttezza richiesti dal GDPR.

L’articolo si conclude portando ad esempio attività fondate su base contrattuale e, nella fattispecie, i contratti di lavoro, in cui il conferimento dei dati è indispensabile e pertanto la richiesta di consenso risulta inutile (e quindi fuorviante).

Riepilogo degli obblighi nell’utilizzo dei cookie

L’articolo Un tagliando per i cookies anche per i siti web degli studi professionali in realtà non è rivolto solo agli studi professionali, ma ad ogni azienda che abbia un proprio sito web, un’app o un profilo su una piattaforma online e costituisce un riepilogo dei requisiti da soddisfare in base al quadro corrente di leggi e regolamenti in materia di cookie. In particolare si deve far riferimento alle linee guida sui cookie ed altri strumenti di tracciamento (che effettuano operazioni di lettura e scrittura nel terminale dell’utente) emanate dal Garante per la Privacy e operative dal gennaio 2021, ma si deve tenere presente che la direttiva ePrivacy è stata implementata in modo diverso tra i differenti paesi UE. E’ necessario operare tenendo presenti i seguenti item:

  • secondo i principi di accountability, privacy by design e by default, le scelte, documentate, sull’uso dei cookie devono avvenire preventivamente alla pubblicazione del sito,
  • si devono fornire adeguate informazioni all’utente e, ove necessaria la richiesta di consenso (per es. per i cookie di profilazione), questa deve avvenire con modalità idonee,
  • il banner deve prevedere (salvo casi particolari) la possibilità di rifiutare in toto i cookie non tecnici necessari al funzionamento del sito, anche premendo sulla “X” di chiusura del banner purché vi sia stato scritto che con questa modalità si attua tale rifiuto,
  • nessun cookie non tecnico può essere utilizzato prima di aprire il banner,
  • le scelte sui cookie non possono essere ripresentate prima di 6 mesi, affinché non diventino in pratica una forzatura,
  • in caso di utilizzo, previa acquisizione del consenso, dei cookie di profilazione, si deve distinguere quali sono di prima o terza parte, a causa delle diverse regole applicabili,
  • per le spiegazioni estese agli utenti, il banner deve far riferimento alla Cookie Policy, che conterrà l’elenco delle tipologie dei cookie utilizzati a seconda delle scelte dell’utente,
  • le dimensioni del banner devono essere confacenti quelle dello schermo del dispositivo utilizzato,
  • periodicamente (per es. ogni 6 mesi) si deve verificare che il sito utilizzi (nell’ambito del consentito) esclusivamente i cookie necessari per le finalità prefissate e queste devono essere indicate nell’informativa (es. monitoraggio delle visite degli utenti, statistiche, marketing, ecc.),
  • deve essere definita la conservazione (temporale) delle informazioni acquisite, sempre in relazione alle finalità di raccolta,
  • devono essere identificati i dati personali raccolti dai cookie (es. indirizzo IP o altri identificatori),
  • nel caso in cui si vogliano associare le informazioni raccolte con informazioni disponibili (quali una lista di soggetti identificati), l’informativa deve essere aggiornata e l’operazione deve essere legittimata dal consenso,
  • nel caso di utilizzo di cookie di terze parti, devono essere verificati l’utilizzo effettuato dei dati degli utenti, le informazioni rese disponibili per gli utenti, la possibilità di disabilitare i cookie; analogamente per eventuale condivisione con terzi dei dati raccolti.

Un ulteriore trattamento di dati personali è consentito per finalità compatibili con quelle originarie

Prescindendo dal riportare nel dettaglio il pronunciamento della Corte di Giustizia europea, illustrato dall’articolo Principio di compatibilità tra finalità del trattamento, i chiarimenti della Corte di Giustizia Ue, è interessante la considerazione che esigenze imprenditoriali ed organizzative possono richiedere una certa elasticità nell’applicazione del principio di compatibilità tra finalità del trattamento per il quale i dati sono stati acquisiti e quelle di un secondo trattamento di tali dati.

Era peraltro già chiaro in merito il GDPR, che all’Art. 6 recita: “il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali”.

Nell’accertamento della compatibilitò, sempre a fronte dell’accountability del titolare, si deve però tener conto di:

  • nessi tra le finalità iniziale e quelle del secondo trattamento,
  • relazioni tra gli interessati ed il titolare,
  • categoria dei dati personali, a maggior ragione se “particolari” o relativi a dati giuridici degli interessati,
  • possibili conseguenze per gli interessati dovute all’ulteriore trattamento,
  • misure adeguate di protezione dei dati.

Il GDPR richiede che le informative siano facilmente accessibili a tutti gli interessati

L’articolo Il 98% dei siti web non tiene conto dei diritti privacy degli utenti svantaggiati evidenzia che ben raramente i contenuti delle informative privacy sono messi a disposizione sotto forma di video, audio, icone ed altre modalità alternative per agevolare chi ha difficoltà per essere ipovedente, profugo o poco istruito.

Per chi fosse interessato, FEDERPRIVACY mette a disposizione il documento Vademecum per la redazione di informative sul trattamento dei dati personali indirizzate a persone con disabilità e svantaggio linguistico, culturale e socio-politico-economico.

Il rispetto della privacy è sempre più preteso dagli interessati

L’articolo Dopo la pandemia un italiano su tre non si fida più di come le aziende trattano i dati personali riporta che dopo la pandemia un italiano su tre non si fida più di come le aziende trattano i dati personali.

L’articolo, citando diversi dati statistici, evidenzia che gli utenti hanno molte preoccupazioni in materia di privacy e di trattamento dei dati personali e soprattutto sensibili. Un italiano su tre abbandonerebbe del tutto i servizi di un’azienda se questa subisse violazioni ai danni di dati personali o li condividesse con terze parti per scopi differenti da quelli dichiarati.

Tuttavia, solo il 38% degli intervistati controlla con regolarità le impostazioni di app, account di posta e social media per assicurarsi di seguire le migliori pratiche per mantenere i propri dati privati e sicuri.

L’autore conclude che le aziende che adottano soluzioni di enterprise information management, che supportano la conformità con le leggi sulla privacy e sulla protezione dei dati, usufruiscono di un vantaggio competitivo che consente di mantenere la fedeltà dei clienti.

Geolocalizzazione: Google ha violato la privacy conservando i dati anche degli utenti che ne avevano negato l’uso

L’articolo Google sbatte contro la privacy e ora deve pagare un maxi risarcimento da 392 milioni di dollari per aver ingannato gli utenti sulla geolocalizzazione informa che Google dovrà pagare un maxi risarcimento, nonostante si sia impegnato a rendere più chiare le informazioni sulla geolocalizzazione degli utenti a partire dal 2023. Infatti, secondo l’accusa, attraverso l’ampia gamma di servizi come il motore di ricerca, le mappe e le app che si connettono al wi-fi e alle torri dei telefoni cellulari, Google ha continuato ad accumulare e archiviare una cronologia di tutti i movimenti degli utenti anche dopo la loro disattivazione, nelle impostazioni, del rilevamento della posizione.

Secondo il New York Times, le leggi americane ancora non tutelano a sufficienza la privacy dei cittadini. Repubblicani e democratici sono infatti da anni in disaccordo sulle ripercussioni negative che potrebbero verificarsi sul ricco modello di business dei giganti tecnologici statunitensi se fosse adottato un impianto normativo simile al GDPR. [Questo pone dei seri dubbi, sulle affermazioni circolate negli ultimi mesi relativamente al fatto che gli USA si starebbero adeguando al GDPR, per superare l’ormai annoso problema del trasferimento dei dati personali dei cittadini europei. Ndr]

I passi per evitare il dark pattern nei confronti degli interessati

L’articolo Dark pattern: alcuni controlli da svolgere per rilevare elementi ingannevoli o manipolativi, traendo spunto dalle Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them, suggerisce alcuni controlli atti ad evitare elementi ingannevoli o manipolativi dell’interfaccia utente, quali sono i “dark pattern” [“percorsi oscuri” per spingere gli utenti a compiere azioni che altrimenti non avrebbero svolto, come ad esempio dare il consenso al trattamento dei propri dati personali, o per rendere più difficile compierne altre, come ritirare tale consenso. Ndr].

  • Autonomia. Garantire il potere di controllo dell’interessato sui propri dati personali, con particolare attenzione a finalità e condizioni, rafforzando la prestazione del consenso e la sua revocabilità.
  • Interazione. L’interessato deve poter interagire in modo agevole con il titolare ed essere in grado di esercitare in modo effettivo i propri diritti, spiegando quali siano esercitabili e le relative conseguenze e fornendo più modalità di contatto.
  • Aspettative. Le attività condotte sui dati personali devono corrispondere alle ragionevoli aspettative dell’interessato, specie sulla trasparenza informativa, le valutazioni di legittimo interesse e il rispetto della limitazione delle finalità.
  • Capacità di selezione. Gli interessati devono poter esercitare la portabilità (per sé o per un soggetto terzo) dei propri dati, soprattutto nel caso in cui il servizio utilizzi formati proprietari, attraverso formati interoperabili.
  • Equilibri di potere. Il rapporto di potere fra titolare e interessati non deve essere sbilanciato dal punto di vista informativo e contrattuale.
  • Nessun inganno. Le informazioni devono essere rese in modo neutrale, oggettivo e senza distorsioni. L’Art. 12 del GDPR richiede una “forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”.
  • Sincerità. Le attività svolte devono corrispondere alle informazioni rese all’interessato, ciò che dovrebbe essere dimostrato attraverso una rendicontazione degli adempimenti con particolare riguardo al principio di trasparenza.

Questi criteri dovrebbero essere tenuti in considerazione, secondo i principi di privacy by default e privacy by design, nella progettazione di servizi e piattaforme. E senza una rendicontazione potrebbe essere molto difficile dimostrare la conformità ai requisiti del GDPR.

 

IN BREVE, DALL’ITALIA E DAL MONDO

Il Codice disciplinare deve riferirsi al Regolamento aziendale

L’autore dell’articolo Regolamento aziendale sull’uso degli strumenti di lavoro e codice disciplinare afferma l’opportunità di una stretta connessione tra il regolamento aziendale (che disciplina ad es. l’utilizzo dei beni strumentali dell’azienda) e il codice disciplinare -e sanzionatorio-  adottato (eventualmente ricavato dal Contratto Collettivo Nazionale di Lavoro).

Il codice disciplinare deve essere messo in relazione ad una declaratoria dei doveri e degli obblighi dei lavoratori, cosa che è appunto contenuta nel regolamento aziendale. Quest’ultimo ha una valenza bilaterale, cioè sia per i lavoratori che per il titolare (ad es. può essere previsto che il dipendente non debba utilizzare Internet ai fini personali, ma nello stesso tempo che l’azienda non possa adottare strumenti di controllo della navigazione nel cloud. Ndr).

Nel momento in cui dovesse essere preso un provvedimento disciplinare, previo contraddittorio con il lavoratore, la sanzione dovrà essere proporzionata alla gravità della sanzione. A ciò gioverebbe la presenza nel disciplinare di una casistica di esempio.

Le regole previste nei due documenti non potranno prescindere dalle informative dovute in base al GDPR (ed a quelle del recente Decreto Trasparenza, in caso di processi decisionali automatici) e dovranno essere rese accessibili mediante affissione e ad eventuali altre modalità di comunicazione collettiva.

Il Data Protection Officer agisce perché l’organizzazione sia conforme al GDPR, ma non in esclusiva tutela di questa

L’articolo Tra Europa e Italia, tre spunti evolutivi per la figura del Data Protection Officer, cui si rimanda per una lettura estesa, riguarda il ruolo del Data Protection Office, con particolare riferimento al comparto della pubblica amministrazione ed alla regolamentazione europea (non solo il GDPR).

I punti esaminati riguardano:

  • I poteri di indagine. Il DPO può indagare sulle questioni e sui fatti direttamente collegati con l’esercizio delle sue funzioni, anche su richiesta degli interessati o “di qualsiasi persona”. L’autore ricorda che il DPO non tutela direttamente gli interessi dell’ente in cui opera, ma, da terzo qual è, opera per la tutela dei diritti degli interessati e per la compliance dell’ente, per il quale agisce, al quadro dispositivo della privacy.
  • Durata dell’incarico. Se questa non è specificata nel contratto, il DPO non può essere rimosso o penalizzato in relazione all’adempimento dei propri compiti. Altrimenti, la destituzione anticipata del DPO può essere effettuata, se non soddisfa più le condizioni richieste per l’esercizio delle sue funzioni, solo con il consenso del Garante europeo. Se il DPO è interno all’organizzazione, il suo esonero, se non concordato, potrebbe essere legittimato solo in tribunale.
  • Le organizzazioni di rappresentanza del personale. il Regolamento UE prevede che il DPO possa essere consultato oltre che dalle figure del sistema organizzativo privacy e dalle persone interessate, anche dal “comitato del personale interessato”, un organismo elettivo rappresentativo degli interessi del personale di istituzioni comunitarie. Nell’ordinamento italiano non è previsto che il sindacato possa rivolgersi al DPO per conto del personale e, nel caso (in quanto comunque non vietato), il DPO non è tenuto ad interfacciarsi con esso. Tuttavia, secondo l’autore, questa possibilità sarebbe un valore aggiunto ai fini della privacy.

Il Digital Service Act ce la farà a bloccare le fake news?

L’autore dell’articolo Fake news e social networks, l’UE corre ai ripari con il Digital Service Act ammette l’importante ed utile ruolo divulgativo delle informazioni svolto dai social network, per la gratuità e la facilità e immediatezza di reperimento, ma allo stesso tempo considera la pericolosità dei contenuti falsi. La “confirmation bias” (in sostanza, conferma inficiata dal pregiudizio) introduce un ulteriore elemento negativo: effettuando una ricerca per confermare una propria ipotesi si rischia che i risultati mettano in evidenza proprio questa, anche se errata, aumentando così la convinzione dell’interessato.

Il Digital Service Act (Regolamento sui servizi digitali) impone alle Big Tech una maggiore responsabilità sui contenuti illegali o nocivi che circolano sulle loro piattaforme, richiedendo che siano essi stessi a valutare i rischi associati all’uso dei loro servizi e mettere in atto i mezzi adeguati per rimuovere le fake news, fornendo la massima trasparenza sui dati e sugli algoritmi di raccomandazione.

Organismi indipendenti, posti sotto la supervisione della Commissione Europea, dovrebbero poi effettuare verifiche annuali.

Emessa la direttiva NIS 2 a tutela della sicurezza delle informazioni critiche

L’articolo Cybersecurity, il Parlamento Ue approva la Direttiva NIS 2 informa che è stata approvata dal Parlamento europeo la NIS 2 (direttiva sulla sicurezza delle reti e dei sistemi informativi, che sostituisce la precedente). Questa direttiva affronterà le misure di gestione del rischio di sicurezza informatica e gli obblighi di segnalazione in tutti i settori critici, come l’energia, i trasporti, la salute e le infrastrutture digitali.

Tra FOIA e GDPR: i pareri del Garante Privacy sul diritto a conoscere e vigilare sull’azione della Pubblica Amministrazione

L’articolo Tra FOIA e GDPR: i pareri del Garante Privacy sul diritto a conoscere e vigilare sull’azione della Pubblica Amministrazione ricorda che in Italia (e in molti altri paesi), dal 2016, si dispone di uno strumento per controllare e vigilare sull’azione della Pubblica Amministrazione: il Freedom Of Information Act (FOIA), che altro non è che l’ “accesso civico generalizzato”.

E’ possibile a chiunque, senza necessità della titolarità di una situazione giuridicamente rilevante, di richiedere dati, documenti e informazioni di qualsivoglia natura trattati da una PA; ciò con istanza gratuita e che non deve essere motivata, che indichi gli estremi dei documenti, delle informazioni e dei dati richiesti. Le PA coinvolte devono fornire un riscontro motivato, sia in senso positivo (accoglimento) sia negativo (diniego), avendo facoltà di rifiutare la richiesta solo ai fini della tutela di interessi pubblici e privati giuridicamente rilevanti, quali la sicurezza pubblica e l’ordine pubblico o la politica e la stabilità finanziaria ed economica dello Stato o, anche, la protezione dei dati personali. Nell’ultimo caso, alla risposta dovrebbe corrispondere un idoneo bilanciamento fra tutela dei dati personali e trasparenza. Il Garante ha messo a disposizione una “raccolta sistematica e costantemente aggiornata dei pareri del Garante per la protezione dei dati personali in materia di FOIA”.

 

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Facebook ha subito una sanzione di 265 milioni di Euro, per violazione del GDPR conseguente all’aver messo a disposizione su Internet dei dati personali di circa 533 milioni di utenti, tra cui numeri di telefono, date di nascita, indirizzi e-mail e altre informazioni private.
  • Il Garante per la protezione dei dati personali ha sanzionato una Asl che, durante il periodo di emergenza sanitaria, aveva rimosso le misure poste a tutela dei dati dei pazienti presenti nel dossier sanitario aziendale.
  • Il Garante privacy che ha sanzionato per 500 mila euro Vodafone Italia per l’uso di messaggi incomprensibili e contatti promozionali indesiderati finalizzati a spingere gli utenti telefonici, specialmente gli anziani, a sottoscrivere nuovi contratti.
  • Il Garante ha sanzionato per 1 milione e 400 mila euro Douglas Italia Spa, che, avendo incorporato tre aziende del settore, non si è conformata alla normativa italiana ed europea riguardo, in particolare, ai tempi di conservazione dei dati e ai trattamenti effettuati a fini di marketing e profilazione.

ing. Michele Lopardo

Responsabile Qualità @ Wondersys