Lo scorso 30 marzo è stato pubblicato sulla Gazzetta Ufficiale il Regolamento di Banca d’Italia concernente il trattamento di dati personali effettuato nell’ambito della gestione degli esposti riguardanti la trasparenza delle condizioni contrattuali, la correttezza dei rapporti tra intermediari e clienti e i diritti e gli obblighi delle parti nella prestazione dei servizi di pagamento.

Come noto, Banca d’Italia (in qualità di Autorità di vigilanza bancaria e finanziaria) riceve numerose segnalazioni riguardanti la trasparenza delle condizioni contrattuali, la correttezza dei rapporti tra intermediari vigilati e clientela, nonché i diritti e gli obblighi delle parti nella prestazione dei servizi di pagamento.

Al fine di gestire detti esposti e vista l’ingente quantità di esposti che quotidianamente vengono trasmessi alle diverse filiali della Banca d’Italia, questa utilizza un sistema di IA al fine di ottimizzare il patrimonio informativo contenuto negli esposti, per poterne ricavare elementi utili su fenomeni d’interesse per l’attività di vigilanza che la stessa conduce sugli intermediari bancari e finanziari e, in particolare, al fine di: (i) individuare le fattispecie che presentano similarità; (ii) trarre informazioni utili per la trattazione dell’esposto e per l’attività di vigilanza.

In particolare, l’attività di analisi effettuata dall’IA viene effettuata attraverso l’uso di un motore di ricerca in grado di accedere ai documenti presentati all’Autorità e di ricercare tutte le informazioni presenti negli esposti riconducibili a un determinato servizio o prodotto finanziario. Successivamente, il sistema aggrega gli esposti in cluster (assegnando tag esemplificativi del contenuto) che, tuttavia, non sono determinati sulla base dei dati personali degli esponenti, né dei soggetti terzi.

In tal senso, è escluso che l’algoritmo possa effettuare una qualsiasi forma di profilazione o predizione di comportamenti delle persone fisiche che a vario titolo possono essere coinvolte nella vicenda. Tanto è confermato dalla circostanza che dai risultati dell’analisi non derivano conseguenze sanzionatorie o decisioni automatiche su sugli interessati, né impattano sulle decisioni rimesse alla Banca d’Italia in relazione agli esposti.

Nel Regolamento, l’Autorità approfondisce, inoltre, le misure di sicurezza implementate ai sensi dell’art. 32 del GDPR e, nello specifico, quelle applicate all’utilizzo dei sistemi di IA. In tal senso, è stato previsto il periodico monitoraggio e aggiornamento delle logiche che gli algoritmi di machine learning utilizzano su un determinato insieme di dati (cosiddetto “training dataset”), che, pertanto, sotto sottoposti ad un processo continuo di riaddestramento.

In tale contesto, l’algoritmo viene, pertanto, periodicamente riaddestrato non appena si ritiene che il set di informazioni (o l’interpretazione ad essi associata) possa impattare sui risultati delle analisi.

Inoltre, l’applicazione di machine learning è costruita in modo tale da fornire una “spiegazione” del funzionamento interno dell’algoritmo.

Ariella Fonsi

L'articolo UTILIZZO DI ALGORITMI DI CLUSTERING PER FINALITÁ DI INTERESSE PUBBLICO RILEVANTE NEL RECENTE REGOLAMENTO DI BANCA D’ITALIA proviene da E-Lex.

Today, the European Commission presented publicly for the first time an EU draft law on mandatory chat control. With the stated intention of fighting against “child pornography”, the Commission plans to oblige all providers of e-mail, chat and messaging services to search for suspicious messages in a fully automated way and disclose them to the police. This requires them to monitor and scan the communications of all citizens. End-to-end encryption would have to be undermined by “client-side” scanning on all mobile phones.

MEP and civil rights activist Dr Patrick Breyer (Pirate Party), who filed a lawsuit on Monday against the chat control already voluntarily practiced by Facebook/Meta, comments:

“Apart from ineffective web blocking, the proposed chat control threatens to destroy digital privacy of correspondence and secure encryption. Scanning personal cloud storage would result in the mass surveillance of private photos. Mandatory age verification would end anonymous communication. Appstore censorship would be the end of secure messenger apps and patronise young people. The proposal does not include the overdue obligation on law enforcement agencies to report and remove known abusive material on the net, nor does it provide for Europe-wide standards for effective prevention measures, victim support and counselling and effective criminal investigations. Von der Leyen continues to chart the territory of censorship, mass surveillance, anonymity bans and paternalism, while leaving the activities of child porn rings completely untouched. The proposed measures deprive the entire population of trust, self-determination and security on the net. This plan is nothing other than terrorism against our digital fundamental rights, which I will not relent to fight.

This Big Brother attack on our mobile phones, private messages and photos with the help of error-prone algorithms is a giant step towards a Chinese-style surveillance state. Chat control is like the post office opening and scanning all letters – ineffective and illegal. Even the most intimate nude photos and sex chats can suddenly end up with company personnel or the police. Those who destroy the digital secrecy of letters destroy trust. We all depend on the security and confidentiality of private communication: People in need, victims of abuse, children, the economy and also state authorities.”

Breyer summarises the content and effects of the bill in the following overview:

Voices against the proposed law are coming from across the board: EDRi has criticised the proposal would “allow the widespread scanning of people’s private communications” and “inevitably require the use of notoriously inaccurate AI-based scanning tools of our most intimate conversations”. The German Child Protection Association has also described the EU Commission’s planned warrantless scanning of private communication via messenger or email as disproportionate and not effective. Instead, they stress the majority of child pornography material is shared via platforms and forums. What was needed is “above all the expansion of human and technical resources at the law enforcement agencies, more visible police presence on the net, more state reporting offices and the decriminalisation of the dissemination of self-generated material among young people.”

In Berlin people today protested against the proposal.

patrick-breyer.de/en/eu-chat-c…

Next week on Wednesday (May 11), the EU Commission will present an EU draft law on mandatory chat control to the public for the first time. Similar to Apple’s highly controversial “SpyPhone” plans, the Commission wants to oblige all providers of email, chat and messaging services to search for suspicious messages in a fully automated way and forward them to the police in the fight against “child pornography”. This will require them to monitor and scan the communications of citizens en masse – even if they are still securely encrypted end-to-end so far.

MEP and civil rights activist Dr. Patrick Breyer (Pirate Party) comments:

“This spying attack on our private messages and photos by error-prone algorithms is a giant step towards a Chinese-style surveillance state. Will the next step be for the post office to open and scan all letters? Organized child porn rings don’t use email or messenger services, but darknet forums. With its plans to break secure encryption, the EU Commission is putting the overall security of our private communications and public networks, trade secrets and state secrets at risk to please short-term surveillance desires. Opening the door to foreign intelligence services and hackers is completely irresponsible. To stop chat control, the net community must go to the barricades as!”

In March, 35 organisations worldwide, including the German Lawyers Association, Digitale Gesellschaft, and the Committee to Protect Journalists (CPJ), had warned against the EU’s chat control law.

In an expert opinion, a former ECJ judge pointed out last year that the warrantless interception of private communications violates the case law of the European Court of Justice. According to a poll 72% of citizens oppose the indiscriminate scanning of their private communications. The German government coalition agreement states on the topic on chat control: “We reject measures to scan private communications.”

More info on chat control

patrick-breyer.de/en/chat-cont…

Le questioni legali, non le infrastrutture, ostacolano la ricerca nella rivoluzione dei dati sanitari

Secondo uno stakeholder finlandese, uno spazio europeo dei dati sanitari (EHDS) potrebbe avere un enorme impatto sulla ricerca sanitaria se riuscisse a superare le barriere all’uso secondario transfrontaliero dei dati sanitari e creare fiducia tra i cittadini. Queste barriere sono state analizzate dalla Joint Action Towards the European Health Data Space (TEHDAS) , coordinatore Markus Kalliola, project director per il progetto Health Data 2030 presso il Finnish Innovation Fund Sit EURACTIV in un’intervista.

Legal issues, not infrastructure hampers research in health data revolution

A European Health Data Space (EHDS) could enormously impact health research if it can overcome barriers to cross-border secondary use of health data and create trust amongst citizens, according to a Finnish health data stakeholder. These barriers have been carefully analysed by the Joint Action Towards the European Health Data Space (TEHDAS), coordinator Markus Kalliola, project director for the Health Data 2030 project at the Finnish Innovation Fund Sitra, told EURACTIV in an interview.

euractiv.com/section/health-co…

HDPA rilascia linee guida di conformità dei siti Web che utilizzano tracker

L’autorità ellenica per la protezione dei dati in Grecia ha pubblicato linee guida di conformità per i siti Web informativi che utilizzano tracker. L’autorità ha analizzato diversi siti Web e le loro modalità per ottenere il consenso all’uso dei tracker, in particolare i pop-up di cookie banner, osservando la non conformità in diversi punti del Regolamento generale sulla protezione dei dati dell’UE. L’HDPA ha affermato di aver condotto un audit di 30 siti Web, concedendo loro 15 giorni per essere conformi. Tutti i siti Web, con un’eccezione, lo hanno fatto entro la scadenza. L’autorità esorta tutti i siti web ad adeguarsi alle linee guida.

euractiv.com/section/health-co…

HDPA releases guidelines on website-tracking compliance

The Hellenic Data Protection Authority in Greece released compliance guidelines for informational websites using trackers. The authority observed several websites whose methods for obtaining consent to use trackers — specifically, cookie banner pop-ups — did not comply with several points of the EU General Data Protection Regulation. The HDPA said it conducted an audit of 30 informative websites, giving them 15 days to achieve compliance. All websites, with one exception, did so by the deadline. The authority urges all websites to adapt to the guidelines.

iapp.org/news/a/hdpa-releases-…

EDPB discute le sanzioni GDPR, l’uso del riconoscimento facciale da parte delle forze dell’ordine

Il Comitato europeo per la protezione dei dati ha annunciato che le linee guida per il calcolo delle sanzioni amministrative ai sensi del regolamento generale sulla protezione dei dati dell’UE saranno discusse durante la sessione plenaria del 12 maggio. L’EDPB discuterà anche le linee guida sull’uso della tecnologia di riconoscimento facciale da parte delle forze dell’ordine e la prossima conferenza di giugno “Il futuro della protezione dei dati: un’applicazione efficace nel mondo digitale”.

EDPB to discuss GDPR fines, law enforcement facial recognition use

The European Data Protection Board announced guidelines for calculating administrative fines under the EU General Data Protection Regulation will be discussed during its May 12 plenary session. The EDPB will also discuss guidelines around law enforcement’s use of facial recognition technology and the upcoming June conference “The Future of Data Protection — Effective enforcement in the digital world.”

iapp.org/news/a/edpb-to-discus…

guidoscorza.it/privacy-daily-1…

Yesterday, Member of the European Parliament and digital freedom fighter Patrick Breyer (Pirate Party) filed an action for an injunction against the so-called chat control against Facebook’s parent company Meta Platforms Ireland Limited at Kiel District Court. As a user of “Facebook Messenger”, Breyer is suing against the suspicionless automated search of private chat histories and photos. While the automated searches of personal messages and chats is so far only practised by major US providers, the EU Commission is to propose tomorrow to make this mandatory for all providers of e-mail, messenger and chat services.

Plaintiff Patrick Breyer comments:

“This Big Brother attack by unleashing error-prone algorithms on our cell phones, private messages and photos is a giant step toward a Chinese-style surveillance state. Chat control is like the post office opening and scanning all letters – ineffective and illegal. I will not stand by idly and watch the dismantelling of the fundamental right to digital privacy of correspondence. I will now involve the judiciary.

With chat control in place even the most intimate nude photos and sex chats can suddenly end up with company personnel or the police. Destroying the digital secrecy of correspondence is destroying trust. We all depend on the security and confidentiality of private communication: People in need, victims of abuse, children, the economy and also government authorities.

Organized child porn rings don’t use e-mail or messenger services, but rather secret self-operated forums. With its plans for chat control, the EU Commission is putting the general security of our private communications and public networks, business secrets and state secrets at risk out of short-term surveillance desires. What we need is removals instead of snooping!”

At Breyer’s request, Europol had previously admitted not to report known CSEM for deletion.

Breyer’s lawyer Prof. Dr. Ralph Wagner explains:

“While EU politicians on the one hand claim to protect us from assaults by Facebook, Google and Co., they are at the same time commissioning these same companies to screen and monitor all our communications. The fact that the European Court of Justice (and the courts of many EU member states) has already prohibited such total surveillance on several occasions is simply brushed aside. Then, unfortunately, the only option is to go back to the courts.

Whoever is serious about data protection, with the least bureaucratic burden possible, and wants to protect civil liberties, must not screen all of our communications and then also commission Facebook to do the same.”

Tomorrow, the EU Commission will publicly present its draft EU law on mandatory chat control. The law would require all providers of email, messenger and chat services to conduct mass chat checks and would undermine secure end-to-end encryption.

EDRi has criticised chat control as the “inevitable result of such technologies” and stresses these “would be unthinkable for those that are wrongly accused. The German Child Protection Association has also denounced the EU Commission’s plan to scan private communications via messenger or email without any reason as disproportionate and ineffective. Instead, it says, that the majority of child pornography material is shared via platforms and forums. What is needed “above all is the expansion of human and technical resources at law enforcement agencies, more visible police presence on the net, more state reporting offices, and the decriminalisation of the dissemination of self-generated material among young people.”

Breyer’s information page on chat control

patrick-breyer.de/en/destructi…

Limousine Beach \ Gengis Khan : Cosa direste se vi proponessero un gruppo musicale che riuscisse a fondere Thin Lizzy, Kiss, Van Halen e il glam rock anni settanta ?

iyezine.com/the-queen-is-dead-…

The Queen is Dead 49 - Limousine Beach Gengis Khan

Limousine Beach Gengis Khan : Cosa direste se vi proponessero un gruppo musicale che riuscisse a fondere Thin Lizzy, Kiss, Van Halen e il glam rock anni settanta ?

^{In Your Eyes ezine}

Di recente, la Corte di Giustizia dell’Unione europea (“CGUE”) si è pronunciata, in seguito a rinvio pregiudiziale, sull’interpretazione dell’art. 80, paragrafo 2, del Regolamento UE 679/2016 (“GDPR” o “Regolamento”) in materia di ricorsi, concludendo che anche un’associazione di tutela degli interessi dei consumatori può agire in giudizio, in assenza di un mandato e/o indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati.

I mezzi di ricorso a tutela dei diritti dell’interessato al Capo VIII del Regolamento

Preliminarmente all’analisi compiuta dalla CGUE sul tema dei ricorsi e dei reclami, giova ricordare che il Capo VIII del GDPR, intitolato “Mezzi di ricorso, responsabilità e sanzioni”, prevede che l’interessato ha il diritto di presentare un reclamo dinanzi ad un’autorità di controllo di uno Stato membro, secondo quanto previsto dall’art. 77 del GDPR, oppure un ricorso dinanzi ai tribunali ordinari nazionali, ai sensi degli artt. 78 e 79 del GDPR, sia avverso una decisione dell’autorità di controllo sia nei confronti del titolare del trattamento o del responsabile del trattamento.

In particolare, per quanto rileva in questa sede, merita soffermarsi sugli artt. 80, 81 e 84 del Regolamento. L’art. 80, paragrafo 1, del GDPR prevede che l’interessato ha il diritto di dare mandato di proporre ricorso per suo conto ad un organismo, un’organizzazione o un’associazione senza scopo di lucro, debitamente costituiti secondo il diritto di uno Stato membro e che perseguano obiettivi di pubblico interesse, oltre che essere attivi nel settore della protezione dei diritti e delle libertà degli interessati.

Dalla lettura del paragrafo 1, è evidente il ruolo attivo attribuito nei confronti degli organismi e delle organizzazioni nel promuovere una tutela, eventualmente anche risarcitoria, degli interessati, a condizione del possesso di due requisiti: i) la costituzione dell’organismo secondo il diritto di uno Stato membro; ii) essere attivi nel settore della protezione dei diritti e delle libertà degli interessati, perseguendo tali obiettivi da statuto. Il primo è un requisito meramente formale1. Il secondo requisito, invece, presuppone un’indagine da svolgere con riguardo all’attività concreta, sia per il tramite dello scrutinio dello statuto dell’ente, sia per il tramite della verifica effettiva delle attività nel settore della protezione dei diritti e delle libertà degli interessati.

L’art. 80, paragrafo 2, del GDPR, dall’altro lato, prevede che un organismo, un’organizzazione o un’associazione aventi le medesime caratteristiche descritte al paragrafo 1, possono agire, indipendentemente dal mandato conferito dall’interessato, sia di fronte all’autorità di controllo, sia di fronte ai tribunali ordinari nazionali, se si ritiene che i diritti di un interessato siano stati violati in seguito al trattamento.

Con riguardo a questa disposizione, la dottrina prevalente ha ritenuto che per attribuirsi un mandato istituzionale ex lege dovrebbe darsi esito positivo alle stringenti verifiche non soltanto statuarie, ma anche sostanziali, relativamente a quelle caratteristiche che l’art. 80, paragrafo 1, richiama.

L’art. 84, infine, prevede che gli Stati membri stabiliscono le norme relative alle altre sanzioni per la violazione del Capo VIII del Regolamento, in particolare con riguardo a quelle violazioni che non sono soggette alle sanzioni amministrative di cui all’art. 83 dello stesso Regolamento.

La vicenda del caso in analisi

La vicenda sottoposta alla CGUE ha avuto origine dalla creazione di un’applicazione denominata “App-Zentrum” da parte della società Meta Platforms Ireland (“Società”), finalizzata ad offrire giochi gratuiti agli utenti di social network. La suddetta App consentiva l’acquisizione di dati personali e, non solo, di procedere alla pubblicazione degli stessi a seconda delle vincite e dei punteggi totalizzati da parte degli utenti.

Sul punto, l’Unione federale (“Unione”) – associazione dei consumatori tedesca – ravvisava che le informazioni fornite agli utenti non fossero in conformità con quanto disciplinato dalla normativa sulla protezione dei dati e su quella a tutela del consumatore. In particolare, l’Unione sosteneva che il consenso non fosse validamente acquisito, oltre che le informazioni fossero da ritenersi sleali nei confronti dei consumatori.

Pertanto, l’Unione federale proponeva azione inibitoria di fronte al Tribunale del Land di Berlino contro la Società, pur in assenza di una violazione concreta del diritto alla tutela dei dati di un interessato e di un mandato a lui conferito. Sul punto, il giudice del rinvio in Cassazione, di fronte al quale è stato proposto ricorso contro la sentenza di accoglimento dell’azione, dubitava circa la ricevibilità dell’azione dell’Unione, nei termini di legittimazione attiva ad agire, alla luce dell’applicazione degli artt. 80, paragrafi 1 e 2, nonché dell’art. 84, paragrafo 1 del GDPR, e, pertanto, agiva di fronte alla CGUE su rinvio pregiudiziale.

Conclusione: l’interpretazione della CGUE dell’art. 80 del GDPR

Considerato quanto premesso, il rinvio pregiudiziale verteva principalmente sulla questione se un’associazione di tal genere – ossia quella che agisce a tutela dei diritti dei consumatori – possa agire contro una società in assenza di un mandato che le sia stato conferito ed indipendentemente dalla violazione di specifici diritti degli interessati.

La Commissione della CGUE ha ritenuto che, invero, la questione dipendesse dalla sola interpretazione dell’art. 80, paragrafo 2 del GDPR, alla luce del fatto che il paragrafo 1 dell’art. 80 presuppone la concessione di un mandato e che tale circostanza non riguardasse il caso di specie e che l’art. 84 del GDPR riguardasse l’applicazione delle sanzioni, aspetto che, in ogni caso, non era stato oggetto di discussione.

La Corte ha osservato che, anche in forza del margine di discrezionalità riconosciuto agli Stati membri nell’attuazione della disciplina europea secondo anche quanto previsto dall’art. 288 del TFUE in combinato disposto con i considerando 9, 10 e 13 del GDPR, la disciplina del Regolamento non ostava con la disciplina nazionale, rientrando nel predetto margine di discrezionalità. Per la precisione, la disciplina nazionale, difatti, prevede la legittimazione ad agire da parte delle associazioni dei consumatori a tutela della protezione dei dati.

Nella sua analisi, la Corte ha ritenuto che l’Unione, in qualità di associazione dei consumatori, fosse in possesso di quei requisiti di cui all’art. 80 del GDPR. In primo luogo, l’Unione rientra in quella nozione di organismo, organizzazione e associazione, senza scopo di lucro, costituita secondo il diritto interno e avente obiettivi statutari di pubblico interesse ed attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali. Difatti, l’Unione persegue un obiettivo di interesse pubblico, consistente nell’assicurare i diritti e le libertà degli interessati nella loro qualità di consumatori, correlandosi tale finalità con la protezione dei dati personali di questi ultimi.

In secondo luogo, l’Unione agisce nella misura in cui ritenga che i diritti di cui un interessato gode siano stati violati in seguito al trattamento dei dati personali. La Corte precisava, nello specifico, che non è necessario che la violazione sia concreta, ma esclusivamente che vi sia un trattamento di dati contrario a disposizioni del Regolamento e che, pertanto, la violazione possa essere potenziale.

A valle di tale riflessione, la Corte ha ritenuto che il fatto di legittimare delle associazioni a tutela dei consumatori, come nel caso di specie l’Unione federale, ad instaurare, mediante un meccanismo rappresentativo, azioni intese a far cessare trattamenti di dati contrari alle disposizioni del Regolamento, indipendentemente dalla violazione dei diritti di una persona individualmente e concretamente pregiudicata dalla violazione, contribuisse – in modo incontestabile – a “rafforzare i diritti degli interessati e ad assicurare loro un elevato livello di protezione”. Anzi, la Corte ha aggiunto che il ricorso da parte di un’associazione potesse ritenersi ancora più efficace rispetto all’azione di un singolo individuo.

Pertanto, posto quanto sopra riportato, la Corte ha concluso che l’art. 80 GDPR deve essere interpretato nel senso che non osta ad una normativa nazionale che consente ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito per quel determinato scopo ed indipendentemente dalla violazione di specifici diritti degli interessati, qualora il trattamento dei dati in questione sia idoneo a pregiudicare i diritti riconosciuti dal GDPR agli interessati.

Si ritiene chela decisione della CGUE abbia indubbiamente contribuito ad innovare l’interpretazione dell’art. 80 del GDPR chiarendone l’ambito di applicazione e configurando la concreta possibilità di estensione della legittimazione ad agire a tutela dei dati personali.

Fabiola Iraci Gambazza

1 A titolo esemplificativo, in Italia, tale requisito può essere soddisfatto con l’iscrizione nel registro unico nazionale del terzo settore, ai sensi dell’art. 22 del D. lgs. n. 117/2017.

L'articolo La Corte di Giustizia sui mezzi di ricorso previsti dal GDPR: anche le associazioni dei consumatori possono agire per la protezione dei dati personali proviene da E-Lex.

Utilizzo di algoritmi valutativi nelle scuole: rating reputazionale sotto la lente del Garante privacy

Con un comunicato del 3 maggio 2022, il Garante per la protezione dei dati personali ha inviato una richiesta di informazioni all’Associazione Crop News Onlus, operante nel settore del rating “reputazionale”, che avrebbe promosso un progetto per sperimentare, nei confronti degli studenti, il rating “reputazionale” elaborato sulla base di algoritmi dalla Piattaforma Mevaluate.

Sul tema dell’utilizzo di piattaforme per l’elaborazione di profili reputazione, peraltro, il Garante Privacy si era espresso con il provvedimento n. 488 del 2016, ritenendo che i trattamenti di dati personali effettuati dal titolare della piattaforma oggetto di verifica da parte dell’Autorità non fossero conformi con gli artt. 2, 3, 11, 13, 23, 24 e 26 dell’ex Codice Privacy.

Il Garante, considerata la delicatezza del progetto che si rivolge a soggetti particolarmente vulnerabili (studenti e minori), ha chiesto all’Associazione di far pervenire entro 30 giorni ogni informazione utile alla valutazione del trattamento di dati effettuato.

Leggi il comunicatoLeggi il provvedimento

Il Garante Privacy chiede maggiori garanzie sulla piattaforma per i referendum online

Il Garante per la protezione dei dati personali ha fornito un parere non favorevole al Ministero per l’innovazione tecnologica sullo schema di Dpcm che fissa le regole della piattaforma per la raccolta delle firme per referendum e progetti di legge.

L’Autorità ritiene che siano troppi i profili critici emersi dall’esame di un provvedimento che incide su istituti di democrazia diretta costituzionalmente garantiti, quali appunto i referendum.

Il testo sottoposto all’Autorità, infatti, risulta attualmente privo di adeguate tutele per il pieno rispetto dei diritti e delle libertà fondamentali dei cittadini e, per tale ragione, ha indicato al Ministero una dettagliata serie di condizioni e osservazioni alle quali attenersi, al fine di scongiurare il rischio che si verifichino trattamenti di dati personali non conformi alla normativa vigente.

Leggi il provvedimento

Il Garante Privacy sanziona un ente di ricerca pubblico per l’inadeguatezza delle misure di sicurezza a protezione delle password

Con il provvedimento n. 46 del 2022, il Garante per la protezione dei dati personali ha applicato nei confronti di un ente di ricerca pubblico, titolare del trattamento, una sanzione di € 6.000,00, per la violazione dei principi di cui agli artt. 5, par. 1, lett. f e 32 del Regolamento (UE) 2016/679.

Dal provvedimento si evince che se il titolare del trattamento è tenuto ad individuare le migliori misure a protezione delle password, in ossequio al principio di responsabilizzazione, il fatto di non adottare neanche le misure contenute nell’Allegato B del Codice o nella Circolare n. 2/2017 dell’AgID, precedenti al Regolamento UE (2016/679), non può che comportare il rischio, per il titolare del trattamento, di vedersi irrogata una sanzione da parte del Garante Privacy.

Leggi il provvedimento

Telemarketing: nuovo registro pubblico delle opposizioni

Il 13 aprile 2022 è entrato in vigore il d.p.r. 26/2022, vale a dire il regolamento di riforma del registro pubblico delle opposizioni (RPO), che sarà operativo dal 27 luglio 2022.

Il nuovo RPO amplia il suo originale ambito di iscrizione e modifica, di conseguenza, le modalità con cui società e operatori potranno svolgere attività di telemarketing.

Tra le principali novità si segnalano:

• l’inclusione nella definizione di “contraente” anche delle persone giuridiche, degli enti e delle associazioni;
• estensione dell’ambito di applicazione anche ai numeri telefonici fissi, siano essi presenti in elenchi pubblici o meno, ai numeri telefonici mobili e agli indirizzi postali;
• estensione del diritto di opposizione alle forme di marketing svolte mediante telefonate automatizzate, ossia effettuate in via automatizzata senza l’intervento di un operatore.

Leggi il decreto

Il Garante Privacy sanziona un Responsabile del trattamento per l’inadeguatezza delle misure di sicurezza adottate

L’Autorità ha ingiunto una sanzione pecuniaria di € 10.000,00 esclusivamente nei confronti di un Responsabile del trattamento, una società fornitrice di software, per la violazione dei principi di cui agli artt. 5, par. 1, lett. f) e 32 del Regolamento (UE) 2016/679 (di seguito “GDPR” o “Regolamento”), a seguito di una violazione dei dati personale concernente i dati contenuti in una piattaforma utilizzata per la gestione delle contravvenzioni al Codice della strada.

Secondo l’Autorità, non si ravvisavano i presupposti per adottare un provvedimento nei confronti del titolare del trattamento, un ente pubblico, poiché il responsabile del trattamento era risultato inadempiente all’obbligo di prevedere misure di sicurezza adeguate sulla base del contratto stipulato con il titolare del trattamento. Si deve ricordare, infatti, che l’art. 28 del GDPR consente al titolare del trattamento di affidare un trattamento a terzi soggetti che presentino le competenze per adottare adeguate misure di sicurezza.

Si tratta di una pronuncia dalla portata decisamente innovativa se si considera che, in linea generale, le sanzioni del Garante sono rivolte principalmente a Titolari del trattamento o, al più, in maniera congiunta a Titolari e Responsabili del trattamento.

Leggi il provvedimento

L'articolo What’s new in Italy on Data Protection<BR> n.4 – Maggio 2022 proviene da E-Lex.

i figli degli Zoundz, dei Subhumans, degli Omega Tribe e dei nostri I Refuse It, stavano mettendo le basi per un nuovo, insperato, ritorno.

iyezine.com/straw-man-army-sos

Straw Man Army - SOS

Straw Man Army i figli degli Zoundz, dei Subhumans, degli Omega Tribe e dei nostri I Refuse It, stavano mettendo le basi per un nuovo, insperato, ritorno.

^{In Your Eyes ezine}