submitted by weex to fediverse
1 points | 0 comments
codeberg.org/fediverse/fep

It is with great pleasure that I can share the following two standards documents that were finalized this past week under the Fediverse Enhancement Proposal process:

FEP-400e: Publicly-appendable ActivityPub collections "describes how ActivityPub servers and clients could specify collections to which objects created by their actors belong."

FEP-8fcf: Followers collection synchronization across servers "describes an optional mechanism for detecting discrepancies in following relationships across instances, with minimal overhead and without loss of privacy."

It is hoped that documents like these can form the basis for greater interoperability between services on the fediverse.

View these proposals, additional draft proposals and the proposal submission process at codeberg.org/fediverse/fep

Con Matteo Flora nella nuova puntata di #Garantismi abbiamo parlato del Safer Internet Day 2022 attraverso una riflessione sul ruolo dei genitori nella vita dei minori online.

Guarda il video:

youtube.com/embed/xAcpWx7om0M?…

guidoscorza.it/garantismi-inte…

The Austrian Data Protection Authority ruled that the use of Google Analytics by a website owner violated Chapter V GDPR (transfers of personal data to third countries or international organisations).

Google Analytics is on the verge of an astounding avalanche of complaints lodged by NOYB1, the non-profit organization chaired by the Austrian activist and lawyer Maximilian Schrems. The first of these complaints has just been discussed2 by the Austrian Data Protection Authority (DSB), who ruled that the use of Google Analytics tool is unlawful. This decision has a far-reaching effect, as it represents the tangible consequence of the recent CJEU case Schrems II and the invalidation of the Privacy Shield. With only a few legal instruments available to controllers and processors3 in addition to the new versions of the SCCs, there is still plenty of room for a guidance on EU – US data transfers.

Amid 2020, the data subject visited a .at website managed by its Austrian owner (“Controller”). The latter implemented the Google Analytics service tool on its website. Google Analytics places cookies to measure traffic characteristics, including the behavior of website visitors and the offer of targeted advertising on the website. While surfing the website, the data subject was logged with his Google account. The log allowed Google LLC, vested as the processor (“Google”, or “Processor”), to view at least his IP address, unique user identification numbers and browser settings. Due to human factors, Controller did not activate the anonymization function on Google Analytics dashboard4. The said function masks the last three digits of the end-user IP address while leaving unmasked the so-called “device fingerprinting”56. This data is meant to be sufficient for Google to single-out the data subject. Both Controller and Processor entered into the former version of the SCCs7 in order to be able to transfer the data to the U.S..

Soon after becoming aware of the type of processing conducted by and on the behalf of the Controller, the data subject, represented by NOYB, lodged a complaint before the DSB, claiming that the transfer of personal data to Google was in violation of the GDPR and the Schrems II ruling8.

The claimant complained on the violation of Chapter V, Articles 44 et seq. GDPR9 in the light of Schrems II ruling. According to the fact Privacy Shield has been held invalid, the transfer could only be possible as far as essentially equivalent measures to the EU were also available in the U.S.. As if that were not enough, the data subject complained that, since Google is an electronic communication service provider under 50 U.S. Code § 1881(b)(4), it is subject to surveillance activities by U.S. intelligence services. Therefore Google can be “cracked” and disclose to the U.S. government the transferred personal data of EU residents10. In this regard, Google stated that additional technical and security measures were in place to handle the US government requests11. DSB did not consider such measures as essentially equivalent to those available in the EU.

Regardless of the additional measures implemented in addition to the SCCs, personal data collected through Google Analytics were potentially accessible by the U.S. intelligence. This was possible even in the case Google’s anonymization and pseudonymization means were available and functioning. If the data subject was logged with his Google account while surfing the web, it was Google that, regardless of the security measures applied12, had the means to reidentifying the individual13. As a consequence, it is not excluded that Google could single-out the data subject with reasonable effort at any rate. Mutatis mutandis, this is what Recital 26 GDPR suggests when it states that the question of whether a natural person is identifiable takes into account “[…] any means reasonably likely to be used by the controller or by any other person [Google LLC] to identify the natural person, directly or indirectly, such as singling out”14. With this in mind, it is difficult to imagine a threshold where the “reasonably likely” effort of a tech giant like Google eventually turns into a disproportionate effort to single out the data subject, especially in the case of a logged account.

DSB is consistent with this interpretation of the law, and confirms that, regardless the anonymization function available as an optional setting, its implementation would not have saved the Controller from violating the GDPR. DSB expressly mentions that

“The “anonymization function of the IP address” mentioned is not relevant in relation to the case, as this was not implemented correctly […].”15

DSB continues its reasoning by stating that

“[a]part from that, the IP address is in any case only one of many “puzzle pieces” of the complainant’s digital footprint.”

As with the “device fingerprinting”, the “digital footprint” allows to cross-check data in order to date back to the data subject and single him/her out. This is what Google’s proprietary technology is potentially capable of, and this, again, is the reason why the additional measures implemented to render Google Analytics GDPR compliant on behalf of the Controller are not sufficient to close the legal protection gaps identified in the context of the Schrems II decision. Speaking of which, DSB cites the EDPB recommendations 01/2020 (paragraph 70) as the interpretation key of the Schrems II case law as applied to the case:

“[a]ny supplementary measure may only be deemed effective in the meaning of the CJEU judgment “Schrems II” if and to the extent that it addresses the specific deficiencies identified in your assessment of the legal situation in the third country. If, ultimately, you cannot ensure an essentially equivalent level of protection, you must not transfer the personal data.”

This being said, at least at this point in time and according to the DSB, Google Analytics does not ensure a level of protection which is essentially equivalent to that of the EU.

In conclusion, after the Schrems II ruling16 and the invalidation of Privacy Shield, the EU – US approach to cross-border data transfers got harsher than before. As a matter of fact, Privacy Shield was the only guidance available to EU based businesses who wished to transfer personal data to the US. The invalidation of the Privacy Shield led to a clear fragmentation of approaches available to enact EU – US data transfers; it contributed, in part, to enhance the uncertainty behind the appropriate technical, organizational and security measures to adopt in such situations. It is needless to say that Schrems II decision has shed a light on the criticalities and incompatibilities between the access to data available to the US government agencies and the fundamental rights and freedoms enforced through the GDPR. Nevertheless, as far as a definition of appropriate and correct transatlantic transfer is concerned, neither the EU, nor, let alone, the US, have reached an even position.

Edoardo Di Maggio

1 Following Schrems II decision, NOYB lodged a total of 101 complaints in different jurisdictions, noyb.eu/en/eu-us-transfers-com…

2 The fine is yet to be decided, and could go up to 20 million euros or 4% of turnover, whichever is higher.

3 Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data; Recommendations 02/2020 on the European Essential Guarantees for surveillance measures.

4 Datenschutzbehörde, Case: D155.027 2021-0.586.257, Reasons, A.7.

5 support.google.com/analytics/a….

6 “[…] the combination of cookie data and IP address [that] allows tracking and the evaluation of geographical localization, Internet connection and context of the visitor, which can be linked [to an individual’s device] (emphasis added), ut supra, fn. 4, Reasons, A.10.

7 Standard Contractual Clauses pursuant to Commission Decision 2010/87 of 05.02.2010.

8 Ut Supra, fn. 4, Reasons, A.1.

9 Ibid.

10 Ibid.

11 Ut supra, fn. 4, D.3 Heading 2.b, letters e) and f).

12 Ut supra, fn. 4, Findings of fact, C.10, “for the determination of the facts, this accountability under data protection law means that the respondent (or, in any case, the first respondent as the responsible party) – and not the complainant or the data protection authority – must provide sufficient proof. Such sufficient proof – i.e., that from a technical point of view there is no possibility for the second respondent to obtain data – was not provided in this context, especially since it is precisely an essential part of the concept of Google Analytics to be implemented on as many websites as possible in order to be able to collect data”.

13 Ut supra, fn. 4, Findings of fact, C.10.

14 Emphasis added.

15 Ut supra, fn. 5, D.3 f).

16 Court of Justice of the European Union, Case C-11/18.

L'articolo Using Google Analytics is not GDPR compliant, states the Austrian Data Protection Authority proviene da E-Lex.

Wyden, Booker e Clarke introducono l’Algorithmic Accountability Act del 2022 per richiedere nuova trasparenza e responsabilità per i sistemi decisionali automatizzati

I senatori statunitense Ron Wyden, D-Ore., Cory Booker, DN.J., e Rep. Yvette Clarke, DN.Y., hanno annunciato l’introduzione dell’Algorithmic Accountability Act, che mira a “portare nuova trasparenza e supervisione del software , algoritmi e altri sistemi automatizzati.” Il disegno di legge invita le aziende a condurre valutazioni di impatto per pregiudizi, efficacia e altri fattori all’interno di strumenti decisionali automatizzati”. La Federal Trade Commission ospiterebbe un archivio pubblico e riceverebbe risorse per aggiungere 75 membri del personale per far rispettare la legge.

wyden.senate.gov/news/press-re…

Ue, giganti della tecnologia rafforzano la cooperazione per combattere l’odio online

reuters.com/technology/empty-c…

Twitter intenta una causa contro la regola tedesca di segnalazione online

Twitter ha avviato un’azione legale in Germania contro la legge anti-discorsi d’odio online del 2018 che è stata più recentemente emendata con regole più strigenti. Secondo Twitter, obbligherebbe le piattaforme social a condividere dati degli utenti con le autorità prima ancora che sia chiaro se abbiano commesso o no un reato.

reuters.com/technology/twitter…

guidoscorza.it/privacy-daily-7…

Nuova puntata de “La privacy secondo te”, la rubrica con Italian.Tech che prova a portare la #privacy dove solitamente non arriva! Oggi tocca a Giancane, autore della colonna sonora della fortunatissima serie Strappare lungo i bordi su Netflix. Non perderti l’intervista! Che aspetti guarda il video e alla prossima puntata:

video.italian.tech/dossier/la-…

guidoscorza.it/la-privacy-seco…

submitted by sagar to fediverse
1 points | 0 comments
fosdem.org/2022/schedule/

cross-posted from: lemmy.ml/post/168019

FOSDEM 2022 starts today at 1000hrs CET (UTC+1)

Welcome to the world of free software. There are a bunch of rooms from which you can attend your favorite events.

submitted by sexy_peach to fediverse
1 points | 0 comments

Or did they come up with it by themselves?

Google: le aziende tedesche chiedono un’azione contro la raccolta di dati

Bloomberg riferisce che una rete di società pubblicitarie tedesche ha presentato un reclamo per concorrenza all’Ufficio federale tedesco contro le pratiche di raccolta dei dati di Google.

bloomberg.com/news/articles/20…

Regno Unito: il governo continua le riforme digitali post-Brexit

Boris Johnson ha annunciato l’intenzione di portare avanti il ​​disegno di legge “Brexit Freedoms”, che includerà pratiche e standard rimodellati sulla protezione dei dati e sull’intelligenza artificiale.

gov.uk/government/news/prime-m…

L’FBI conferma di aver testato lo spyware Pegasus per hackerare gli smartphone

Il Federal Bureau of Investigation degli Stati Uniti ha confermato di aver testato lo spyware Pegasus dell’azienda tecnologica israeliana NSO Group per un potenziale utilizzo in procedimenti penali nel 2019, riferisce Axios.

axios.com/nso-spyware-fbi-e23b…

guidoscorza.it/privacy-daily-4…

Durante la sessione plenaria svoltasi lo scorso 19 gennaio, il Comitato europeo per la protezione dei dati (in inglese, “European Data Protection Board”, “EDPB”) ha adottato le Linee guida sul diritto di accesso (di seguito, “Linee guida”).

La pubblicazione di dette Linee guida è scaturita dall’esigenza di fornire maggiori chiarimenti sulla portata e sulle modalità d’esercizio di tale diritto da parte dell’interessato, nonché sulla gestione della richiesta da parte del titolare.

Inoltre, l’EDPB ha cercato di tratteggiare un significato più preciso delle nozioni di “manifesta infondatezza” ed “eccessività” della richiesta, nell’ambito delle limitazioni e restrizioni previste in materia.

Premessa: il diritto di accesso dell’interessato

Il diritto di accesso, previsto dall’art. 15 del Regolamento UE 679/2016 (cosiddetto “GDPR”), in ossequio al generale principio di trasparenza, consente all’interessato (ossia, il soggetto i cui dati sono trattati) di ottenere dal titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardi e, in tal caso, di accedere ai dati e alle informazioni concernenti: le finalità del trattamento, le categorie di dati trattati, i destinatari o le categorie di destinatari a cui i dati sono o saranno comunicati, il periodo di conservazione o i criteri utilizzati per determinarlo, l’origine dei dati, l’esistenza di un processo decisionale automatizzato o di un trattamento transfrontaliero dei dati.

L’interessato non è tenuto a sostenere costi per l’esercizio di tale diritto. Tuttavia, se le richieste da questi avanzate sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può addebitargli un ragionevole contributo di spese, tenendo conto dei costi amministrativi sostenuti per fornire le informazioni.

I chiarimenti forniti dall’EDPB attraverso le Linee guida

• Scopo, struttura e modalità del diritto di accesso

Preliminarmente, le Linee guida si soffermano sull’obiettivo generale sotteso al diritto di accesso: viene ribadito che esso è finalizzato a fornire all’interessato informazioni sufficienti, trasparenti e facilmente accessibili in merito al trattamento dei propri dati, in modo che questi possa esserne consapevole e verificarne la legittimità e l’accuratezza. Ciò, renderà più semplice – sebbene non ne rappresenti una condizione – l’esercizio degli altri diritti, quali quelli di cancellazione e di rettifica.

In secondo luogo, l’EDPB precisa che il diritto di accesso comprende tre diverse componenti:

• la conferma che sia o meno in corso un trattamento: se il titolare non tratta dati personali relativi al soggetto che richiede l’accesso, le informazioni da fornire devono limitarsi a dichiarare che nessun trattamento è in corso. Al contrario, in caso di esito affermativo della richiesta di conferma, quest’ultima può essere resa o in un’autonoma e separata dichiarazione, oppure può essere inclusa tra le informazioni da rendere successivamente all’interessato;
• l’accesso ai dati: tale componente costituisce il nucleo del diritto d’accesso. Si tratta di un accesso vero e proprio ai dati personali, e non di una mera descrizione degli stessi, per la quale sarebbe stata sufficiente la previsione legislativa sulle informative, di cui agli artt. 13 e 14 del GDPR. Al riguardo, si ritiene essere importante la precisazione che l’obbligo del titolare di consentire l’accesso – a meno che non sussistano limiti o restrizioni al diritto, di cui infra si parlerà – non dipende né dalla tipologia, né dall’origine dei dati trattati, ma opera pienamente anche laddove i dati siano stati inizialmente forniti direttamente dal soggetto richiedente;
• l’accesso alle informazioni sul trattamento: rispetto a tale terza ed ultima componente del diritto d’accesso, le Linee guida precisano che tali informazioni potrebbero essere tratte dall’informativa sul trattamento oppure dal registro delle attività di trattamento tenuto dal titolare; tuttavia, potrebbero dover essere da questi aggiornate ed adattate al momento in cui viene avanzata la richiesta.

Per quanto concerne le modalità della richiesta da parte dell’interessato, le Linee guida sottolineano che non sono previsti specifici requisiti di forma. È raccomandato al titolare di mettere a disposizione dell’interessato canali di comunicazione appropriati e facilmente utilizzabili al fine di consentirgli di presentare prontamente la sua richiesta, ma – anche laddove questa misura sia predisposta – l’interessato può scegliere di procedere diversamente, anche rivolgendosi direttamente ad un punto di contatto ufficiale del titolare (ad esempio, al responsabile della protezione dei dati, ove presente).

• Valutazione della richiesta da parte del titolare

Spostandosi, poi, sulle modalità di gestione della richiesta, l’EDPB prescrive che, nell’analizzare il contenuto della stessa, il titolare del trattamento deve valutare:

• anzitutto, se la richiesta fa riferimento a dati personali relativi al soggetto che la inoltra;
• in secondo luogo, se l’accesso in questione rientra nel campo di applicazione dell’art. 15 GDPR, o se vi sono altre – più specifiche – previsioni normative di settore che disciplinano l’accesso ai dati;
• se la richiesta di accesso si riferisce a tutti o soltanto ad una parte dei dati trattati (se nulla è indicato, deve intendersi riferita alla totalità dei dati).

È specificato che il titolare non è tenuto a rispondere a richieste inviate in modo del tutto casuale o errato.

Quando il titolare non è in grado di identificare il soggetto che avanza la richiesta, deve informare quest’ultimo di tale circostanza e può declinare la stessa, a meno che l’interessato non fornisca ulteriori supplementari informazioni che consentano l’identificazione.

La richiesta di informazioni supplementari deve essere proporzionata alla tipologia di dati trattati e ai danni che potrebbero verificarsi, al fine di evitare un’eccessiva raccolta di dati (in ossequio al principio di pertinenza).

Nelle ultime pagine del documento, è allegato un utile diagramma di flusso riepilogativo di tutti i passaggi che, ai fini della valutazione, il titolare è tenuto ad effettuare.

• Modalità di fornitura dei dati

Le modalità di fornitura dei dati da parte del titolare variano a seconda del volume dei dati e della complessità del trattamento. La documentazione relativa ai dati e alle altre informazioni sul trattamento deve essere fornita in forma concisa, trasparente, intelligibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Più specifici requisiti al riguardo dipendono dal contesto del trattamento e dalla capacità dell’interessato di comprendere il contenuto delle comunicazioni. Se i dati da fornire consistono in codici o in altri dati c.d. “grezzi”, sarebbe opportuno provvedere ad adeguate spiegazioni.

La principale modalità di fornitura è la trasmissione, da parte del titolare, di una copia dei dati oggetto di trattamento. Se la richiesta è presentata in forma elettronica, anche la copia – salvo diverse indicazioni – deve essere fornita in un formato elettronico di uso comune. Nel caso in cui i dati siano inviati mediante mezzi elettronici, devono essere assicurate tutte le garanzie necessarie ad evitare rischi, tenendo conto della natura dei dati e del contesto del trattamento.

Altre modalità – come una comunicazione orale oppure l’accesso in loco – possono essere previste, se richieste dall’interessato.

Quando il volume dei dati è molto ampio o quando il trattamento è connotato da una certa complessità, una modalità di fornitura dei dati suggerita dalle Linee guida è quella di un “approccio a strati” (“layered approach”): fornire i dati e le informazioni su diversi livelli può facilitarne la comprensione da parte dell’interessato. In tali casi, il titolare deve essere in grado di dimostrare che l’approccio stratificato ha un valore aggiunto per l’interessato. In ogni caso, se richiesto dall’interessato, anche in tali più complesse ipotesi i dati e le informazioni devono essere forniti contemporaneamente.

La valutazione della richiesta deve riflettere la situazione esistente al momento in cui la richiesta è stata ricevuta: ad esempio, i dati che sono già stati cancellati e che, quindi, non sono più disponibili, non devono essere forniti.

• Limiti e restrizioni al diritto di accesso

Infine, le Linee guida si soffermano sulle limitazioni e restrizioni al diritto di accesso previste dal Regolamento, che sono le seguenti:

• il diritto di ottenere una copia dei dati oggetto di trattamento non deve ledere i diritti e le libertà altrui (art. 15, n. 4): a tal riguardo, è importante la precisazione, contenuta nelle Linee guida, per cui tale bilanciamento debba essere posto in essere non soltanto in caso di accesso ai dati mediante fornitura di una copia, ma anche se lo stesso avviene con altri mezzi. Inoltre, il titolare deve essere in grado di dimostrare i diritti e le libertà che sarebbero compromessi nella specifica situazione;
• il titolare può respingere richieste che siano “manifestamente infondate” o “eccessive” (art. 12, n. 5): l’EDPB tratteggia un significato più preciso di tali sfumate espressioni, che sinora si sono prestate a diverse interpretazioni, precisando che i concetti devono essere intesi in maniera maggiormente restrittiva.

In particolare, la “manifesta infondatezza” può essere invocata solo quando i requisiti prescritti dal Regolamento per la richiesta sono palesemente non soddisfatti, alla stregua di un criterio prettamente oggettivo. L’EDPB sottolinea, a tal proposito, che non rientrano, tra tali ipotesi, le richieste relative ad un trattamento di dati non soggetto all’applicazione del GDPR (in tal caso, la richiesta non dovrebbe essere proprio qualificata come tale). Altresì, una richiesta non deve essere ritenuta manifestamente infondata solo perché proveniente da un soggetto che ha in precedenza presentato richieste inammissibili o errate, o solo perché è utilizzato dal richiedente un linguaggio scorretto o improprio.

Per “eccessività” della richiesta, invece, le Linee guida precisano che, sebbene all’interno del Regolamento non vi sia una definizione di tale concetto, l’inciso contenuto nell’art. 12, n. 5 GDPR che recita “in particolare, per il loro carattere ripetitivo”, consente di concludere che il principale scenario applicativo di tale filtro sia legato alla quantità di richieste avanzate da un determinato interessato, senza che tra una richiesta e l’altra sia trascorso un ragionevole intervallo di tempo.

In ogni caso, il titolare deve essere in grado di comprovare il carattere manifestamente infondato o eccessivo di una richiesta.

• Infine, le Linee guida rammentano che restrizioni al diritto di accesso possono anche essere previste dal diritto nazionale degli Stati membri, come sancito dall’ art. 23 GDPR. I titolari che intendono avvalersi di tali restrizioni devono verificare i requisiti richiesti dalle disposizioni nazionali, prestando attenzione alle specifiche condizioni cui le stesse possono essere subordinate: ad esempio, può essere prevista una proroga solo temporanea all’esercizio del diritto di accesso, oppure una restrizione applicabile soltanto a determinate categorie di dati personali.

Gabriella Amato

L'articolo L’EDPB ha adottato le Linee guida sul diritto d’accesso dell’interessato proviene da E-Lex.

Recentemente, una pronuncia del TAR Lazio (la n. 10814 del 2021) ha chiarito i limiti entro i quali è ammessa la divulgazione di informazioni su giochi, scommesse con vincite di denaro, nonché gioco d’azzardo, nel rispetto del divieto imposto dalla normativa vigente, in un procedimento avente ad oggetto la richiesta di annullamento di un ordine di ingiunzione dell’Autorità per le garanzie nelle comunicazioni (“AGCOM” o “Autorità”).

La disciplina: il divieto di pubblicità diretta ed indiretta del gioco d’azzardo

Giova, anzitutto, compiere un breve excursus della normativa vigente in ambito di giochi, scommesse e gioco d’azzardo, nonché della relativa attività promozionale e pubblicitaria.

Nello specifico, il decreto-legge del 12 luglio 2018, n. 87 (“Disposizioni urgenti per la dignità dei lavoratori e delle imprese”1), all’art. 9 del Capo III, intitolato “Misure per il contrasto alla ludopatia” sancisce il divieto di qualsiasi forma di pubblicità, anche indiretta, relativa a giochi o scommesse con vincite di denaro, in qualsiasi modo effettuata e con qualunque mezzo, incluse le manifestazioni sportive, culturali o artistiche, le trasmissioni televisive radiofoniche, la stampa quotidiana e periodica, le pubblicazioni in genere, le affissioni e internet.

Si intendono vietate altresì le sponsorizzazioni di eventi, attività, manifestazioni, programmi, prodotti o servizi e a tutte le altre forme di comunicazione di contenuto promozionale, comprese le citazioni visive e acustiche e la sovraimpressione del nome, marchio, simboli, attività o prodotti relativi al gioco e/o alle scommesse.

Il divieto di promuovere il gioco d’azzardo incontra, ad ogni modo, alcuni limiti che il predetto articolo 9 disciplina tassativamente. Difatti, è precisato che il divieto non vige con riferimento alle sole lotterie nazionali ad estrazione differita, nonché le manifestazioni di sorte locali e i loghi sul gioco sicuro.

In caso di mancato rispetto del già menzionato divieto, è prevista l’irrogazione di una sanzione pecuniaria amministrativa di importo pari al 20 percento del valore della pubblicità e/o della sponsorizzazione e, in ogni caso, non inferiore, per ogni violazione, ad euro 50 mila. L’autorità competente per la contestazione e la successiva irrogazione della sanzione è l’AGCOM, secondo quanto disciplinato dalla legge n. 689 del 1981.

La ratio del divieto di pubblicità diretta ed indiretta del gioco d’azzardo è rinvenibile nella maggior tutela da garantire al consumatore e nel rendere più efficace l’azione di contrasto al crescente fenomeno della ludopatia.

Al fine di chiarire l’ambito applicativo dell’art. 9, l’AGCOM ha pubblicato delle Linee guida, con la delibera n. 132/19/CONS, le quali mirano a fornire delle delucidazioni interpretative sulla vigenza del divieto2.

In particolare, le Linee guida, oltre a ribadire i principi ispiratori per la promulgazione della normativa3, hanno chiarito l’ambito di applicazione soggettivo-territoriale, oggettivo e temporale. Merita soffermarsi – per quanto rileva in questa sede – sull’ambito oggettivo della norma. L’AGCOM chiarisce che l’art. 9 prevede il divieto di qualsiasi forma di pubblicità, tra le quali, possono annoverarsi, inter alia, la distribuzione di gadget brandizzati dei prodotti di gioco, l’organizzazione di eventi con premi, le manifestazioni a premio etc.

Tuttavia, l’Autorità precisa che sono escluse dal divieto quelle comunicazioni di carattere informativo, fornite dagli operatori di gioco legale. Quindi, non possono considerarsi sponsorizzazioni le informazioni relative alle caratteristiche dei prodotti e dei servizi di gioco offerto, se rilasciate nel contesto in cui si offre il servizio di gioco a pagamento. A titolo esemplificativo, le informazioni possono riguardare le quote, il jackpot, le probabilità di vincita, le puntate minime e gli eventuali bonus offerti.

Non consistono, altresì, in pubblicità quelle informazioni rese su richiesta della clientela, nei limiti della stessa e capaci – rectius, le informazioni – a consentire scelte di gioco consapevoli.

Il fatto

La vicenda in esame prendeva le mosse dalla delibera n. 22/22/CONS, con la quale l’AGCOM ingiungeva nei confronti di una società (la “Società”) il pagamento di una sanzione di euro 50 mila per aver violato l’art. 9 del decreto-legge del 12 luglio 2018, n. 87 e di ogni altra disposizione ad esso connesso, tra cui le Linee guida sulle modalità attuative del predetto articolo.

L’Autorità ravvisava la violazione nella presenza di un contenuto pubblicato sul sito web della Società consistente in un collegamento ipertestuale alla pagina web del sito internet “Wisecasino.net”, una piattaforma di gioco, e dunque, ritenendolo attività promozionale indiretta del gioco a pagamento, di cui al divieto all’art. 9.

La Società decideva di ricorrere dinanzi al T.A.R Lazio impugnando l’ordinanza, formulando i seguenti tre motivi:

• insussistenza ed erronea rappresentazione del presupposto di fatto;
• illegittimità costituzionale dell’art. 9 del decreto-legge n. 96 del 2018 per contrasto con gli artt. 49-55, 56-62, 101-102 del TFUE, della Direttiva SMAV del 14 novembre 2018, nonché la Risoluzione del Parlamento europeo del 10 settembre 2013;
• illegittimità costituzionale dell’art 9 del decreto-legge n. 96 del 2018 per contrasto con gli artt. 3 e 41 della Costituzione e per violazione del principio del legittimo affidamento, proporzionalità e del principio di certezza del diritto.

Con riguardo al primo motivo, la Società sosteneva che i contenuti pubblicati sul sito non avessero natura pubblicitaria e non si configurasse pubblicità indiretta alla piattaforma di gioco, bensì si trattava di mera comunicazione avente esclusiva finalità descrittiva, informativa e identificativa dell’offerta di gioco legale, funzionale a consentire una scelta di gioco consapevole.

La Società, con il secondo motivo, deduceva in giudizio l’incompatibilità del divieto dell’art. 9 del citato decreto-legge e i principi comunitari riguardanti le regole di concorrenza e le libertà di stabilimento e di prestazione dei servizi.

Infine, sulla scorta del terzo motivo, la Società adduceva il contrasto della normativa in analisi con l’art. 41 della Costituzione, e, di conseguenza, la violazione del principio di legittimo affidamento, nonché della libertà di iniziativa economica. In aggiunta, sosteneva che la previsione della misura fissa della sanzione ad euro 50 mila avrebbe rappresentato una violazione dell’art. 3 della Costituzione e del divieto di automatismi legislativi nell’applicazione della sanzione.

La decisione del T.A.R Lazio

Il Tribunale amministrativo ha deciso di respingere il ricorso, sostenendo la non accoglibilità dei gravami dedotti dalla ricorrente.

In particolar modo, il T.A.R. ha colto l’occasione per ribadire quanto già le Linee Guida avevano specificato con riguardo all’ambito applicativo del divieto, nello specifico, a quello oggettivo.

Difatti, il giudice amministrativo ha valutato l’inserzione del collegamento ipertestuale quale pubblicità indiretta e non mera comunicazione informativa, tenendo in considerazione le modalità di confezionamento del messaggio (es. linguaggio utilizzato, elementi grafici e acustici, contesto di diffusione).

Il collegamento diretto ed univoco alla piattaforma di giochi aveva indubbiamente finalità promozionale, in quanto lo stesso link era di colore e di carattere diverso rispetto agli altri contenuti del sito e per tale ragione, attirava maggiormente l’attenzione dell’utente visitatore. Inoltre, il collegamento conduceva ad una pagina in cui erano sponsorizzati i migliori casinò online, promuovendo direttamente i portali, con relativi bonus di benvenuto. Non erano ravvisati caratteri meramente informativi, né richieste da parte dell’utente tali da rendere certe determinate informazioni.

Pertanto, la condotta della Società è stata ritenuta in violazione dell’art. 9 del D.L. n. 87 del 2018, in quanto la comunicazione consisteva in una promozione del gioco con vincite di denaro.

Con riguardo al secondo motivo, il giudice amministrativo ha disatteso il gravame della Società, in quanto – come in più pronunce ribadito dalla Corte di Giustizia dell’Unione europea, si ritengono legittime le restrizioni alla libertà di stabilimento e alle libertà di prestazione di servizio, per ragioni di ordine pubblico, di pubblica sicurezza e di sanità pubblica, o anche per motivi imperativi di interessi generali, tra i quali la tutela dei consumatori. Ne discendeva, quindi, la discrezionalità del legislatore nel decidere le azioni per contrastare la ludopatia. Pertanto, il predetto art. 9 non è in contrasto con le libertà sopradette, anzi si pone a tutela del consumatore e della salute pubblica.

Per ultimo, con riferimento alla possibile violazione dell’art. 41 e dell’art. 3 della Costituzione, il T.A.R Lazio ha rigettato altresì il terzo motivo, motivando in tal senso: i) non era configurabile una violazione dell’art. 41, in quanto l’apposizione di limiti rispondenti all’esercizio di utilità sociale non coincidono con una lesione della libertà di iniziativa economica, quanto in un bilanciamento tra interessi; ii) non si trattava di un automatismo legislativo nella determinazione della sanzione, in quanto, la norma prevede una forbice edittale, riconoscibile in quel 20 percento.

Brevi cenni conclusivi

Nonostante il dettato normativo risultasse già manifestamente lineare – con specifico riguardo alle Linee guida dell’AGCOM – con questa pronuncia, il T.A.R. ha senza alcun dubbio chiarito, non solo l’ambito oggettivo applicativo della disposizione in analisi, ma altresì la finalità della norma in un bilanciamento con altre disposizioni e i relativi diritti, libertà ed interessi in gioco nel nostro sistema legislativo.

Fabiola Iraci Gambazza

1 gazzettaufficiale.it/eli/id/20…. Il suddetto decreto-legge è stato convertito con modificazioni dalla legge n. 96 del 9 agosto 2018.

2agcom.it/documents/10179/14467….

3 Tra i principi e le finalità, sono menzionati i seguenti: protezione rafforzata delle categorie vulnerabili, con particolare riferimento ai minori e ai giocatori patologici; contrasto del gioco a pagamento illegale in contrapposizione all’offerta di gioco a pagamento autorizzata, tramite concessione, dall’Agenzia delle dogane e dei Monopoli; riconoscibilità dell’offerta di gioco a pagamento autorizzata rispetto a quella illegale, tramite l’utilizzo di appositi loghi elaborati dall’Agenzia delle dogane e dei monopoli; trasparenza sulle condizioni e servizi offerti, in modo da favorire decisioni di gioco consapevoli; rispetto del principio di proporzionalità.

L'articolo Tra i limiti del divieto di pubblicità al gioco d’azzardo: la recente pronuncia del TAR del Lazio proviene da E-Lex.

Lo Studio E-Lex è stato selezionato da ITA Airways spa, per il ruolo di Data Protection Officer, che verrà svolto come referente dal socio Avvocato Stefano Aterno.

Stefano Aterno, avvocato e docente universitario, ha, nell’associazione professionale, il ruolo di rafforzare l’impegno dello studio sul fronte della prevenzione e difesa nel delicato settore del diritto penale dell’informatica e degli aspetti giuridici della sicurezza informatica.

Conta su 25 anni di esperienza, sulla certificazione come Lead auditor ISO 27001, data protection UNI 11697:2017, e Forensic investigator (CIFI), ed autore di numerose pubblicazioni scientifiche su criminalità informatica e prova digitale, privacy e tutela dei dati personali.

Tra i suoi clienti figurano vari enti e organismi pubblici, aziende private e multinazionali per i quali ha svolto attività di consulenza; è stato, dalla fine degli anni 90 ad oggi, tra i difensori dei primi e più significativi processi penali in materia di privacy e reati informatici.

«Sono soddisfatto che l’esito della selezione abbia premiato la mia esperienza e specifica formazione – ha commentato Aterno – e soprattutto che il cliente abbia tenuto conto dell’apporto che l’intera squadra di E-Lex è capace di fornire all’attività. Diventare il DPO (Data protection officer) di ITA Airways è certamente un incarico prestigioso che svolgeremo al meglio insieme e grazie al contributo di tutto il Team di professionisti coinvolti».

Gli altri soci dello studio E-Lex Ernesto Belisario, Adriana Peduto, Dario Reccia e Giovanni Maria Riccio esprimono unanime soddisfazione per l’incarico e assicurano al cliente il massimo supporto per la sua esecuzione.

• Leggi la notizia su LegalCommunity.it
• Leggi la notizia su Diritto 24 Il Sole 24 Ore

L'articolo ITA sceglie E-Lex con un beauty contest e nomina l’avv. Stefano Aterno come DPO proviene da E-Lex.

«Tutta una serie di misure e politiche neoliberali, come ad esempio la liberalizzazione dei servizi, la precarizzazione del mondo del lavoro, la programmazione per obiettivi nella Pubblica Amministrazione, l’aziendalizzazione della sanità e della scuola, sono funzionali proprio a creare situazioni di scarsità e di libera concorrenza che costringono i soggetti a pensare ed agire in termini calcolanti e competitivi, pena la sconfitta nella competizione, la disoccupazione e quindi il fallimento esistenziale.
Le generazioni più giovani, oggi, sono nate e cresciute nella società di mercato, e ne hanno introiettato pienamente i meccanismi essendosi formati entro i suoi meccanismi disciplinari: l’esempio più lampante sono i social network, Instagram su tutti, in cui la competizione sui like e la ricerca di successo e celebrità sulla base del meccanismo di influencing costruiscono quotidianamente tanti piccoli “imprenditori di se stessi”.
Come diceva Margareth Thatcher, “l’economia è il mezzo, ma l’obiettivo sono le anime”.»

lacittadifedora.it/il-realismo…

Il realismo capitalista e la costruzione dell’uomo economico - Fedora

Nel 2009 Mark Fisher pubblicava Realismo capitalista, un’opera il cui sottotitolo parla da solo: Esiste un’alternativa? Fisher intendeva esprimere, con l’amarezza tipica di un intellettuale consapevole dell’irreversibilità dei processi di lunga durat…

^{Niccolo Biondi (Fedora)}