Google: le aziende tedesche chiedono un’azione contro la raccolta di dati

Bloomberg riferisce che una rete di società pubblicitarie tedesche ha presentato un reclamo per concorrenza all’Ufficio federale tedesco contro le pratiche di raccolta dei dati di Google.

bloomberg.com/news/articles/20…

Regno Unito: il governo continua le riforme digitali post-Brexit

Boris Johnson ha annunciato l’intenzione di portare avanti il ​​disegno di legge “Brexit Freedoms”, che includerà pratiche e standard rimodellati sulla protezione dei dati e sull’intelligenza artificiale.

gov.uk/government/news/prime-m…

L’FBI conferma di aver testato lo spyware Pegasus per hackerare gli smartphone

Il Federal Bureau of Investigation degli Stati Uniti ha confermato di aver testato lo spyware Pegasus dell’azienda tecnologica israeliana NSO Group per un potenziale utilizzo in procedimenti penali nel 2019, riferisce Axios.

axios.com/nso-spyware-fbi-e23b…

guidoscorza.it/privacy-daily-4…

Durante la sessione plenaria svoltasi lo scorso 19 gennaio, il Comitato europeo per la protezione dei dati (in inglese, “European Data Protection Board”, “EDPB”) ha adottato le Linee guida sul diritto di accesso (di seguito, “Linee guida”).

La pubblicazione di dette Linee guida è scaturita dall’esigenza di fornire maggiori chiarimenti sulla portata e sulle modalità d’esercizio di tale diritto da parte dell’interessato, nonché sulla gestione della richiesta da parte del titolare.

Inoltre, l’EDPB ha cercato di tratteggiare un significato più preciso delle nozioni di “manifesta infondatezza” ed “eccessività” della richiesta, nell’ambito delle limitazioni e restrizioni previste in materia.

Premessa: il diritto di accesso dell’interessato

Il diritto di accesso, previsto dall’art. 15 del Regolamento UE 679/2016 (cosiddetto “GDPR”), in ossequio al generale principio di trasparenza, consente all’interessato (ossia, il soggetto i cui dati sono trattati) di ottenere dal titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardi e, in tal caso, di accedere ai dati e alle informazioni concernenti: le finalità del trattamento, le categorie di dati trattati, i destinatari o le categorie di destinatari a cui i dati sono o saranno comunicati, il periodo di conservazione o i criteri utilizzati per determinarlo, l’origine dei dati, l’esistenza di un processo decisionale automatizzato o di un trattamento transfrontaliero dei dati.

L’interessato non è tenuto a sostenere costi per l’esercizio di tale diritto. Tuttavia, se le richieste da questi avanzate sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può addebitargli un ragionevole contributo di spese, tenendo conto dei costi amministrativi sostenuti per fornire le informazioni.

I chiarimenti forniti dall’EDPB attraverso le Linee guida

• Scopo, struttura e modalità del diritto di accesso

Preliminarmente, le Linee guida si soffermano sull’obiettivo generale sotteso al diritto di accesso: viene ribadito che esso è finalizzato a fornire all’interessato informazioni sufficienti, trasparenti e facilmente accessibili in merito al trattamento dei propri dati, in modo che questi possa esserne consapevole e verificarne la legittimità e l’accuratezza. Ciò, renderà più semplice – sebbene non ne rappresenti una condizione – l’esercizio degli altri diritti, quali quelli di cancellazione e di rettifica.

In secondo luogo, l’EDPB precisa che il diritto di accesso comprende tre diverse componenti:

• la conferma che sia o meno in corso un trattamento: se il titolare non tratta dati personali relativi al soggetto che richiede l’accesso, le informazioni da fornire devono limitarsi a dichiarare che nessun trattamento è in corso. Al contrario, in caso di esito affermativo della richiesta di conferma, quest’ultima può essere resa o in un’autonoma e separata dichiarazione, oppure può essere inclusa tra le informazioni da rendere successivamente all’interessato;
• l’accesso ai dati: tale componente costituisce il nucleo del diritto d’accesso. Si tratta di un accesso vero e proprio ai dati personali, e non di una mera descrizione degli stessi, per la quale sarebbe stata sufficiente la previsione legislativa sulle informative, di cui agli artt. 13 e 14 del GDPR. Al riguardo, si ritiene essere importante la precisazione che l’obbligo del titolare di consentire l’accesso – a meno che non sussistano limiti o restrizioni al diritto, di cui infra si parlerà – non dipende né dalla tipologia, né dall’origine dei dati trattati, ma opera pienamente anche laddove i dati siano stati inizialmente forniti direttamente dal soggetto richiedente;
• l’accesso alle informazioni sul trattamento: rispetto a tale terza ed ultima componente del diritto d’accesso, le Linee guida precisano che tali informazioni potrebbero essere tratte dall’informativa sul trattamento oppure dal registro delle attività di trattamento tenuto dal titolare; tuttavia, potrebbero dover essere da questi aggiornate ed adattate al momento in cui viene avanzata la richiesta.

Per quanto concerne le modalità della richiesta da parte dell’interessato, le Linee guida sottolineano che non sono previsti specifici requisiti di forma. È raccomandato al titolare di mettere a disposizione dell’interessato canali di comunicazione appropriati e facilmente utilizzabili al fine di consentirgli di presentare prontamente la sua richiesta, ma – anche laddove questa misura sia predisposta – l’interessato può scegliere di procedere diversamente, anche rivolgendosi direttamente ad un punto di contatto ufficiale del titolare (ad esempio, al responsabile della protezione dei dati, ove presente).

• Valutazione della richiesta da parte del titolare

Spostandosi, poi, sulle modalità di gestione della richiesta, l’EDPB prescrive che, nell’analizzare il contenuto della stessa, il titolare del trattamento deve valutare:

• anzitutto, se la richiesta fa riferimento a dati personali relativi al soggetto che la inoltra;
• in secondo luogo, se l’accesso in questione rientra nel campo di applicazione dell’art. 15 GDPR, o se vi sono altre – più specifiche – previsioni normative di settore che disciplinano l’accesso ai dati;
• se la richiesta di accesso si riferisce a tutti o soltanto ad una parte dei dati trattati (se nulla è indicato, deve intendersi riferita alla totalità dei dati).

È specificato che il titolare non è tenuto a rispondere a richieste inviate in modo del tutto casuale o errato.

Quando il titolare non è in grado di identificare il soggetto che avanza la richiesta, deve informare quest’ultimo di tale circostanza e può declinare la stessa, a meno che l’interessato non fornisca ulteriori supplementari informazioni che consentano l’identificazione.

La richiesta di informazioni supplementari deve essere proporzionata alla tipologia di dati trattati e ai danni che potrebbero verificarsi, al fine di evitare un’eccessiva raccolta di dati (in ossequio al principio di pertinenza).

Nelle ultime pagine del documento, è allegato un utile diagramma di flusso riepilogativo di tutti i passaggi che, ai fini della valutazione, il titolare è tenuto ad effettuare.

• Modalità di fornitura dei dati

Le modalità di fornitura dei dati da parte del titolare variano a seconda del volume dei dati e della complessità del trattamento. La documentazione relativa ai dati e alle altre informazioni sul trattamento deve essere fornita in forma concisa, trasparente, intelligibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Più specifici requisiti al riguardo dipendono dal contesto del trattamento e dalla capacità dell’interessato di comprendere il contenuto delle comunicazioni. Se i dati da fornire consistono in codici o in altri dati c.d. “grezzi”, sarebbe opportuno provvedere ad adeguate spiegazioni.

La principale modalità di fornitura è la trasmissione, da parte del titolare, di una copia dei dati oggetto di trattamento. Se la richiesta è presentata in forma elettronica, anche la copia – salvo diverse indicazioni – deve essere fornita in un formato elettronico di uso comune. Nel caso in cui i dati siano inviati mediante mezzi elettronici, devono essere assicurate tutte le garanzie necessarie ad evitare rischi, tenendo conto della natura dei dati e del contesto del trattamento.

Altre modalità – come una comunicazione orale oppure l’accesso in loco – possono essere previste, se richieste dall’interessato.

Quando il volume dei dati è molto ampio o quando il trattamento è connotato da una certa complessità, una modalità di fornitura dei dati suggerita dalle Linee guida è quella di un “approccio a strati” (“layered approach”): fornire i dati e le informazioni su diversi livelli può facilitarne la comprensione da parte dell’interessato. In tali casi, il titolare deve essere in grado di dimostrare che l’approccio stratificato ha un valore aggiunto per l’interessato. In ogni caso, se richiesto dall’interessato, anche in tali più complesse ipotesi i dati e le informazioni devono essere forniti contemporaneamente.

La valutazione della richiesta deve riflettere la situazione esistente al momento in cui la richiesta è stata ricevuta: ad esempio, i dati che sono già stati cancellati e che, quindi, non sono più disponibili, non devono essere forniti.

• Limiti e restrizioni al diritto di accesso

Infine, le Linee guida si soffermano sulle limitazioni e restrizioni al diritto di accesso previste dal Regolamento, che sono le seguenti:

• il diritto di ottenere una copia dei dati oggetto di trattamento non deve ledere i diritti e le libertà altrui (art. 15, n. 4): a tal riguardo, è importante la precisazione, contenuta nelle Linee guida, per cui tale bilanciamento debba essere posto in essere non soltanto in caso di accesso ai dati mediante fornitura di una copia, ma anche se lo stesso avviene con altri mezzi. Inoltre, il titolare deve essere in grado di dimostrare i diritti e le libertà che sarebbero compromessi nella specifica situazione;
• il titolare può respingere richieste che siano “manifestamente infondate” o “eccessive” (art. 12, n. 5): l’EDPB tratteggia un significato più preciso di tali sfumate espressioni, che sinora si sono prestate a diverse interpretazioni, precisando che i concetti devono essere intesi in maniera maggiormente restrittiva.

In particolare, la “manifesta infondatezza” può essere invocata solo quando i requisiti prescritti dal Regolamento per la richiesta sono palesemente non soddisfatti, alla stregua di un criterio prettamente oggettivo. L’EDPB sottolinea, a tal proposito, che non rientrano, tra tali ipotesi, le richieste relative ad un trattamento di dati non soggetto all’applicazione del GDPR (in tal caso, la richiesta non dovrebbe essere proprio qualificata come tale). Altresì, una richiesta non deve essere ritenuta manifestamente infondata solo perché proveniente da un soggetto che ha in precedenza presentato richieste inammissibili o errate, o solo perché è utilizzato dal richiedente un linguaggio scorretto o improprio.

Per “eccessività” della richiesta, invece, le Linee guida precisano che, sebbene all’interno del Regolamento non vi sia una definizione di tale concetto, l’inciso contenuto nell’art. 12, n. 5 GDPR che recita “in particolare, per il loro carattere ripetitivo”, consente di concludere che il principale scenario applicativo di tale filtro sia legato alla quantità di richieste avanzate da un determinato interessato, senza che tra una richiesta e l’altra sia trascorso un ragionevole intervallo di tempo.

In ogni caso, il titolare deve essere in grado di comprovare il carattere manifestamente infondato o eccessivo di una richiesta.

• Infine, le Linee guida rammentano che restrizioni al diritto di accesso possono anche essere previste dal diritto nazionale degli Stati membri, come sancito dall’ art. 23 GDPR. I titolari che intendono avvalersi di tali restrizioni devono verificare i requisiti richiesti dalle disposizioni nazionali, prestando attenzione alle specifiche condizioni cui le stesse possono essere subordinate: ad esempio, può essere prevista una proroga solo temporanea all’esercizio del diritto di accesso, oppure una restrizione applicabile soltanto a determinate categorie di dati personali.

Gabriella Amato

L'articolo L’EDPB ha adottato le Linee guida sul diritto d’accesso dell’interessato proviene da E-Lex.

Si è fatto riferimento a più riprese, in questa e in altre sedi, ai concetti di sicurezza e di stabilità, strettamente interconnessi tra loro, sempre che quest’ultima sia letta, come ci suggerisce Marco Emanuele (Dallo Stato burocratico allo Stato democratico. Stabilità e complessità), come “dinamicità controllata” e non come stallo del sistema di riferimento.

Ma nell’era globale e “connessa”, quale quella in cui viviamo, in cui ogni individuo è anche un “nodo” di rete, come possiamo definire la sicurezza?

Dobbiamo innanzitutto partire dal presupposto che essa è composta da due elementi fondamentali che la connotano.

Il primo è rappresentato dalla “percezione” di sicurezza, che consiste in un dato soggettivo ed astratto, ma fortemente determinante l’ambiente osservato, mentre il secondo è dato dalla “realtà oggettiva”, identificabile, sia sotto il profilo quantitativo che qualitativo. Il che, tradotto, significa identificare le minacce in un certo scenario, le probabilità di accadimento e, alla fine dei giochi, l’accettabilità o meno di un rischio residuo come risulta del suo trattamento.

Soprattutto, dobbiamo partire dal doveroso presupposto che il rischio zero non esiste; principio fondamentale da far passare, al fine dell’accettazione di certe misure di sicurezza, comprese alcune presunte limitazioni delle libertà personali, in nome della sicurezza collettiva.

Basta pensare, per portare due esempi molto diversi fra loro, al certificato verde, in era pandemica – come misura di sicurezza sanitaria – o alla ripresa di immagini per mezzo di videocamere, posizionate per garantire la protezione fisica passiva di una qualsiasi installazione/infrastruttura.

Concetti non semplici da comprendere per il grande pubblico.

Abbiamo detto, infatti, che la percezione di sicurezza è un elemento soggettivo e che, come tale, varia al variare dei valori, delle credenze, della psicologia, dei costumi, dell’educazione, della formazione e della cultura del singolo individuo e muta, altresì, al mutare della fiducia del singolo individuo e dei gruppi umani nell’entità, nell’istituzione o nell’organismo deputato al mantenimento del livello di sicurezza in un certo momento e in un determinato sistema, che – ricordiamolo – è sempre complesso.

Il tutto, al netto delle azioni dolose, o involontarie di disinformazione, di molteplice provenienza, che turbano lo scenario e tendono a drogare la percezione individuale e collettiva.

Al contrario, l’analisi del rischio, richiede un approccio tecnico-scientifico e una specifica formazione non solo per la sua gestione, ma anche per la comprensione delle sue dinamiche. L’individuo tende, o, meglio, pretende una vita a “rischio zero”, sia per connaturato istinto di autoconservazione, sia a causa di una profonda trasformazione, nel corso dei decenni, dell’accettabilità della morte, della perdita e della sconfitta, in generale. Del resto, nell’era dell’egocentrismo, la sconfitta è bandita. Il problema è che continua ad esistere.

Allora, come possiamo definire, oggi, la “Sicurezza”?

Azzardiamo e diciamo che la sicurezza è una condizione reale e/o percepita di assenza di rischio rilevante, ai fini dello svolgimento della normale esistenza di un individuo o di un gruppo umano. Tale condizione può essere garantita mediante l’attivazione di comportamenti individuali e/o di gruppo e di misure di prevenzione e di protezione attive e passive, fisiche, logiche, procedurali e regolamentari, contro ogni evento doloso e colposo idoneo a turbare l’equilibrio del sistema di riferimento e ad influire negativamente sulla qualità della vita di individui e gruppi.

Si tiene dunque conto della “percezione” individuale e di gruppo e la allineiamo con l’esigenza di comportamenti e misure definite, atte a prevenire e contrastare eventi avversi, nonché a mitigare le loro conseguenze, idonee a introdurre elementi di turbamento dell’equilibrio dei sistemi di riferimento.

E’ ovvio che, laddove si parla percezione, si introduce anche un importante aspetto, da classificare tra le misure preventive ed, eventualmente, di mitigazione del danno e cioè la comunicazione.

E’ questa, infatti, ad influire in modo specifico sulla percezione di sicurezza, o meglio, di pericolo, da parte dell’individuo, che percepisce il livello maggiore o minore di capacità di un evento qualsiasi di causare un danno, in base a numerose variabili, sia intrinseche al soggetto stesso, che veicolate dall’esterno, attraverso la comunicazione e l’informazione più o meno distorte.

Ed è proprio su quest’ultimo punto, che, nell’era globale fondata sulla rete, si apre un capitolo infinito….

The post La sicurezza oggi, tra percezione e realtà oggettiva appeared first on Key4biz.

submitted by rcbrk to fediverse
1 points | 0 comments
proxy.vulpes.one/gemini/cadenc…

gemini://cadence.moe/gemlog/2020-11-16-federation-and-its-consequences.bliz

archive.ph/QvWU5

Quando l’AI può aiutare l’apprendimento

Cosa accadrebbe se grazie all’intelligenza artificiale fosse possibile riassumere gli articoli scientifici più difficili e tecnici, in modo che anche un bambino di sette anni possa capirli?

theverge.com/2022/1/18/2288918…

La scelta tra sicurezza e condivisione dei dati non dovrebbe essere un’opzione

Il presidente Emmanuel Macron secondo quanto riporta Euractiv, vuole dare la priorità alla rapida adozione del Digital Markets Act (DMA) durante la presidenza francese dell’UE.

euractiv.com/section/data-prot…

Il Giappone pubblica le linee guida sulla governance dell’IA

Il Ministero dell’Economia, del Commercio e dell’Industria del Giappone ha pubblicato le “Linee guida sulla governance dell’IA”.

iapp.org/news/a/japan-publishe…

guidoscorza.it/privacy-daily-2…

Gli esenti dalla vaccinazione anti-Covid stanno subendo una grave violazione della privacy: devono esibire ai verificatori del green pass il certificato medico in cui si attesta l’esenzione per comprovati motivi di salute.

Il green pass ha preso il via in Italia il 17 giugno scorso, ma le persone esenti dalla vaccinazione anti-Covid hanno dovuto subire fino ad oggi una grave violazione della privacy, perché hanno dovuto mostrare ai verificatori del green pass il certificato cartaceo del medico in cui si attesta l’esenzione per comprovati motivi di salute. Ora, finalmente, sta per arrivare il green pass con QR Code anche per chi è esentato dalla vaccinazione. Già ad ottobre il Governo lo aveva annunciato, ma solo in queste ore sta prendendo corpo il decreto del Presidente del Consiglio dei Ministri, da adottare di concerto con il Ministro della salute, il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze.

L’ok del Garante Privacy, che segnala da tempo al Governo la questione come “urgentissima”

Il dPcm ha ricevuto l’ok dal Garante Privacy, che da tempo ha segnalato al Governo come questione “urgentissima” la digitalizzazione dei documenti di esenzione, “perché necessaria per consentire alle persone che per specifici motivi di salute sono state esentate dalla vaccinazione, di non subire le limitazioni previste dal cosiddetto decreto ‘Riaperture” per la non disponibilità di Green pass o super Green pass”. Per questo motivo l’Autorità auspica una quanto più rapida attuazione del decreto.

Green pass per chi è esente da vaccinazione anti-Covid: le caratteristica

In base al Dpcm, il certificato di esenzione dal vaccino riporterà:

• gli stessi dati e avrà lo stesso aspetto del QR code previsto per la certificazione verde, in modo tale che il verificatore non possa distinguere se si tratta di certificazione di esenzione o di certificazione verde per avvenuta vaccinazione o guarigione o esito negativo di test anti Covid-19.
• Dalla verifica del QR code si potranno desumere solo informazioni relative all’autenticità, alla validità e all’integrità della certificazione e alle generalità dell’interessato, ma non sulla salute della persona.
• Le certificazioni di esenzione, inoltre, dovranno essere sempre aggiornate e quindi revocate nei medesimi casi previsti per le certificazioni verdi (come la sopraggiunta positività dell’interessato o l’acquisizione fraudolenta), nonché qualora venga meno la specifica condizione clinica che ne ha giustificato il rilascio.

Nella definizione del decreto, particolare attenzione è stata posta su una serie di delicati aspetti le come le modalità di accesso al Sistema Tessera Sanitaria (TS); la messa disposizione delle certificazioni dell’interessato direttamente o tramite i soggetti intermediari (portale della Piattaforma nazionale-DGC, Fascicolo Sanitario Elettronico, App Immuni, App IO e Sistema TS); le modalità automatizzate previste per l’impiego delle certificazioni verdi in ambito scolastico e lavorativo.

L'articolo Green pass, arriva l’ok anche per chi è esente da vaccino: meglio tardi che mai proviene da Privacy Italia.

After several trilogues, negotiations on the revision of Europol’s mandate were concluded yesterday and more powers for the EU police agency were agreed to. Despite serious concerns from civil society and a reprimand from the European Data Protection Supervisor last year, Europol is to be allowed to collect and analyse masses of data about non-suspected people, such as mobile phone movement and air travel data.

As a substitute member of Europol’s supervisory body JPSG, MEP Patrick Breyer (Pirate Party) states:

“In the trilogue negotiations, my group Greens/EFA strongly opposed the reform, which aims to legalise Europol’s illegal actions instead of stopping them. According to the findings of the European Data Protection Supervisor, Europol has been illegally storing masses of data transmitted by national intervention authorities on millions of unsuspected individuals for years. We are talking about large amounts of data (mobile phone location data, passenger lists) of people who are in no way connected to criminal activities. The consequence is that innocent citizens run the risk of being wrongly suspected of a crime because they were in the wrong place at the wrong time.

The planned cooperation of Europol with private companies (such as Google and Microsoft), which unjustly report masses of people as part of pan-european message screening and chat control, is also unacceptable. The fact that Europol even wants to train error-prone algorithms with real citizens’ data in the future threatens to lead to false positives and discrimination.

Police cooperation in Europe is of crucial importance. For this to happen, however, Europol must be effectively monitored and prevented from violating the law. The supervisory mechanisms, which have been superficial so far, have not been given teeth to detect and stop illegal practices by the authority. As a member of the supervisory body, I still have no right to inspect Europol.“

patrick-breyer.de/en/agreement…

Recentemente, una pronuncia del TAR Lazio (la n. 10814 del 2021) ha chiarito i limiti entro i quali è ammessa la divulgazione di informazioni su giochi, scommesse con vincite di denaro, nonché gioco d’azzardo, nel rispetto del divieto imposto dalla normativa vigente, in un procedimento avente ad oggetto la richiesta di annullamento di un ordine di ingiunzione dell’Autorità per le garanzie nelle comunicazioni (“AGCOM” o “Autorità”).

La disciplina: il divieto di pubblicità diretta ed indiretta del gioco d’azzardo

Giova, anzitutto, compiere un breve excursus della normativa vigente in ambito di giochi, scommesse e gioco d’azzardo, nonché della relativa attività promozionale e pubblicitaria.

Nello specifico, il decreto-legge del 12 luglio 2018, n. 87 (“Disposizioni urgenti per la dignità dei lavoratori e delle imprese”1), all’art. 9 del Capo III, intitolato “Misure per il contrasto alla ludopatia” sancisce il divieto di qualsiasi forma di pubblicità, anche indiretta, relativa a giochi o scommesse con vincite di denaro, in qualsiasi modo effettuata e con qualunque mezzo, incluse le manifestazioni sportive, culturali o artistiche, le trasmissioni televisive radiofoniche, la stampa quotidiana e periodica, le pubblicazioni in genere, le affissioni e internet.

Si intendono vietate altresì le sponsorizzazioni di eventi, attività, manifestazioni, programmi, prodotti o servizi e a tutte le altre forme di comunicazione di contenuto promozionale, comprese le citazioni visive e acustiche e la sovraimpressione del nome, marchio, simboli, attività o prodotti relativi al gioco e/o alle scommesse.

Il divieto di promuovere il gioco d’azzardo incontra, ad ogni modo, alcuni limiti che il predetto articolo 9 disciplina tassativamente. Difatti, è precisato che il divieto non vige con riferimento alle sole lotterie nazionali ad estrazione differita, nonché le manifestazioni di sorte locali e i loghi sul gioco sicuro.

In caso di mancato rispetto del già menzionato divieto, è prevista l’irrogazione di una sanzione pecuniaria amministrativa di importo pari al 20 percento del valore della pubblicità e/o della sponsorizzazione e, in ogni caso, non inferiore, per ogni violazione, ad euro 50 mila. L’autorità competente per la contestazione e la successiva irrogazione della sanzione è l’AGCOM, secondo quanto disciplinato dalla legge n. 689 del 1981.

La ratio del divieto di pubblicità diretta ed indiretta del gioco d’azzardo è rinvenibile nella maggior tutela da garantire al consumatore e nel rendere più efficace l’azione di contrasto al crescente fenomeno della ludopatia.

Al fine di chiarire l’ambito applicativo dell’art. 9, l’AGCOM ha pubblicato delle Linee guida, con la delibera n. 132/19/CONS, le quali mirano a fornire delle delucidazioni interpretative sulla vigenza del divieto2.

In particolare, le Linee guida, oltre a ribadire i principi ispiratori per la promulgazione della normativa3, hanno chiarito l’ambito di applicazione soggettivo-territoriale, oggettivo e temporale. Merita soffermarsi – per quanto rileva in questa sede – sull’ambito oggettivo della norma. L’AGCOM chiarisce che l’art. 9 prevede il divieto di qualsiasi forma di pubblicità, tra le quali, possono annoverarsi, inter alia, la distribuzione di gadget brandizzati dei prodotti di gioco, l’organizzazione di eventi con premi, le manifestazioni a premio etc.

Tuttavia, l’Autorità precisa che sono escluse dal divieto quelle comunicazioni di carattere informativo, fornite dagli operatori di gioco legale. Quindi, non possono considerarsi sponsorizzazioni le informazioni relative alle caratteristiche dei prodotti e dei servizi di gioco offerto, se rilasciate nel contesto in cui si offre il servizio di gioco a pagamento. A titolo esemplificativo, le informazioni possono riguardare le quote, il jackpot, le probabilità di vincita, le puntate minime e gli eventuali bonus offerti.

Non consistono, altresì, in pubblicità quelle informazioni rese su richiesta della clientela, nei limiti della stessa e capaci – rectius, le informazioni – a consentire scelte di gioco consapevoli.

Il fatto

La vicenda in esame prendeva le mosse dalla delibera n. 22/22/CONS, con la quale l’AGCOM ingiungeva nei confronti di una società (la “Società”) il pagamento di una sanzione di euro 50 mila per aver violato l’art. 9 del decreto-legge del 12 luglio 2018, n. 87 e di ogni altra disposizione ad esso connesso, tra cui le Linee guida sulle modalità attuative del predetto articolo.

L’Autorità ravvisava la violazione nella presenza di un contenuto pubblicato sul sito web della Società consistente in un collegamento ipertestuale alla pagina web del sito internet “Wisecasino.net”, una piattaforma di gioco, e dunque, ritenendolo attività promozionale indiretta del gioco a pagamento, di cui al divieto all’art. 9.

La Società decideva di ricorrere dinanzi al T.A.R Lazio impugnando l’ordinanza, formulando i seguenti tre motivi:

• insussistenza ed erronea rappresentazione del presupposto di fatto;
• illegittimità costituzionale dell’art. 9 del decreto-legge n. 96 del 2018 per contrasto con gli artt. 49-55, 56-62, 101-102 del TFUE, della Direttiva SMAV del 14 novembre 2018, nonché la Risoluzione del Parlamento europeo del 10 settembre 2013;
• illegittimità costituzionale dell’art 9 del decreto-legge n. 96 del 2018 per contrasto con gli artt. 3 e 41 della Costituzione e per violazione del principio del legittimo affidamento, proporzionalità e del principio di certezza del diritto.

Con riguardo al primo motivo, la Società sosteneva che i contenuti pubblicati sul sito non avessero natura pubblicitaria e non si configurasse pubblicità indiretta alla piattaforma di gioco, bensì si trattava di mera comunicazione avente esclusiva finalità descrittiva, informativa e identificativa dell’offerta di gioco legale, funzionale a consentire una scelta di gioco consapevole.

La Società, con il secondo motivo, deduceva in giudizio l’incompatibilità del divieto dell’art. 9 del citato decreto-legge e i principi comunitari riguardanti le regole di concorrenza e le libertà di stabilimento e di prestazione dei servizi.

Infine, sulla scorta del terzo motivo, la Società adduceva il contrasto della normativa in analisi con l’art. 41 della Costituzione, e, di conseguenza, la violazione del principio di legittimo affidamento, nonché della libertà di iniziativa economica. In aggiunta, sosteneva che la previsione della misura fissa della sanzione ad euro 50 mila avrebbe rappresentato una violazione dell’art. 3 della Costituzione e del divieto di automatismi legislativi nell’applicazione della sanzione.

La decisione del T.A.R Lazio

Il Tribunale amministrativo ha deciso di respingere il ricorso, sostenendo la non accoglibilità dei gravami dedotti dalla ricorrente.

In particolar modo, il T.A.R. ha colto l’occasione per ribadire quanto già le Linee Guida avevano specificato con riguardo all’ambito applicativo del divieto, nello specifico, a quello oggettivo.

Difatti, il giudice amministrativo ha valutato l’inserzione del collegamento ipertestuale quale pubblicità indiretta e non mera comunicazione informativa, tenendo in considerazione le modalità di confezionamento del messaggio (es. linguaggio utilizzato, elementi grafici e acustici, contesto di diffusione).

Il collegamento diretto ed univoco alla piattaforma di giochi aveva indubbiamente finalità promozionale, in quanto lo stesso link era di colore e di carattere diverso rispetto agli altri contenuti del sito e per tale ragione, attirava maggiormente l’attenzione dell’utente visitatore. Inoltre, il collegamento conduceva ad una pagina in cui erano sponsorizzati i migliori casinò online, promuovendo direttamente i portali, con relativi bonus di benvenuto. Non erano ravvisati caratteri meramente informativi, né richieste da parte dell’utente tali da rendere certe determinate informazioni.

Pertanto, la condotta della Società è stata ritenuta in violazione dell’art. 9 del D.L. n. 87 del 2018, in quanto la comunicazione consisteva in una promozione del gioco con vincite di denaro.

Con riguardo al secondo motivo, il giudice amministrativo ha disatteso il gravame della Società, in quanto – come in più pronunce ribadito dalla Corte di Giustizia dell’Unione europea, si ritengono legittime le restrizioni alla libertà di stabilimento e alle libertà di prestazione di servizio, per ragioni di ordine pubblico, di pubblica sicurezza e di sanità pubblica, o anche per motivi imperativi di interessi generali, tra i quali la tutela dei consumatori. Ne discendeva, quindi, la discrezionalità del legislatore nel decidere le azioni per contrastare la ludopatia. Pertanto, il predetto art. 9 non è in contrasto con le libertà sopradette, anzi si pone a tutela del consumatore e della salute pubblica.

Per ultimo, con riferimento alla possibile violazione dell’art. 41 e dell’art. 3 della Costituzione, il T.A.R Lazio ha rigettato altresì il terzo motivo, motivando in tal senso: i) non era configurabile una violazione dell’art. 41, in quanto l’apposizione di limiti rispondenti all’esercizio di utilità sociale non coincidono con una lesione della libertà di iniziativa economica, quanto in un bilanciamento tra interessi; ii) non si trattava di un automatismo legislativo nella determinazione della sanzione, in quanto, la norma prevede una forbice edittale, riconoscibile in quel 20 percento.

Brevi cenni conclusivi

Nonostante il dettato normativo risultasse già manifestamente lineare – con specifico riguardo alle Linee guida dell’AGCOM – con questa pronuncia, il T.A.R. ha senza alcun dubbio chiarito, non solo l’ambito oggettivo applicativo della disposizione in analisi, ma altresì la finalità della norma in un bilanciamento con altre disposizioni e i relativi diritti, libertà ed interessi in gioco nel nostro sistema legislativo.

Fabiola Iraci Gambazza

1 gazzettaufficiale.it/eli/id/20…. Il suddetto decreto-legge è stato convertito con modificazioni dalla legge n. 96 del 9 agosto 2018.

2agcom.it/documents/10179/14467….

3 Tra i principi e le finalità, sono menzionati i seguenti: protezione rafforzata delle categorie vulnerabili, con particolare riferimento ai minori e ai giocatori patologici; contrasto del gioco a pagamento illegale in contrapposizione all’offerta di gioco a pagamento autorizzata, tramite concessione, dall’Agenzia delle dogane e dei Monopoli; riconoscibilità dell’offerta di gioco a pagamento autorizzata rispetto a quella illegale, tramite l’utilizzo di appositi loghi elaborati dall’Agenzia delle dogane e dei monopoli; trasparenza sulle condizioni e servizi offerti, in modo da favorire decisioni di gioco consapevoli; rispetto del principio di proporzionalità.

L'articolo Tra i limiti del divieto di pubblicità al gioco d’azzardo: la recente pronuncia del TAR del Lazio proviene da E-Lex.

Quando l’AI può aiutare l’apprendimento

Cosa accadrebbe se grazie all’intelligenza artificiale fosse possibile riassumere gli articoli scientifici più difficili e tecnici, in modo che anche un bambino di sette anni possa capirli?

theverge.com/2022/1/18/2288918…

La scelta tra sicurezza e condivisione dei dati non dovrebbe essere un’opzione

Il presidente Emmanuel Macron afferma che intende dare la priorità alla rapida adozione del Digital Markets Act (DMA) durante la presidenza francese dell’UE.

euractiv.com/section/data-prot…

Il Giappone pubblica le linee guida sulla governance dell’IA

Il Ministero dell’Economia, del Commercio e dell’Industria del Giappone ha pubblicato “Linee guida sulla governance dell’IA”.

iapp.org/news/a/japan-publishe…

Africa: : in crescita le regole su protezione dei dati

guidoscorza.it/privacy-daily-3…

Il Garante per la privacy ha dato l’ok allo schema di decreto del MEF che individua le categorie e le finalità dei trattamenti di dati, connessi alla lotta all’evasione fiscale, per i quali viene limitato l’esercizio dei diritti dei contribuenti.

Il Garante per la privacy ha espresso parere favorevole, con alcune osservazioni, sullo schema di decreto del MEF che individua le categorie e le finalità dei trattamenti di dati, connessi alla lotta all’evasione fiscale, per i quali viene limitato l’esercizio dei diritti dei contribuenti.

Lo schema di decreto, che attua quanto previsto dalla legge di bilancio 2020, prevede che l’Agenzia delle entrate, dopo la pseudonimizzazione di specifici set di dati contenuti nell’archivio dei rapporti finanziari, attraverso processi automatizzati e interconnessioni con le altre banche dati di cui dispone, individui i criteri di rischio utili per far emergere le posizioni da sottoporre al controllo.

Lo schema in esame, tiene già conto di alcune indicazioni fornite durante le interlocuzioni informali intercorse con il MEF e l’Agenzia delle entrate, ma, poiché le limitazioni alla portata dei diritti dei contribuenti incidono in modo rilevante sulla protezione dei dati personali, l’Autorità ha chiesto ulteriori modifiche per assicurare la conformità dei trattamenti alla normativa privacy europea e nazionale.

Considerate le caratteristiche dei trattamenti che si intendono effettuare, il Ministero dovrà introdurre specifiche cautele per quelli automatizzati, in modo da ridurre i rischi per i contribuenti: in particolare per quanto riguarda la rappresentazione della capacità contributiva e poter quindi correggere potenziali errori o distorsioni che potrebbero verificarsi nel processo decisionale.

Il Mef dovrà poi specificare nel dettaglio le categorie di dati oggetto di limitazione e nell’informativa indicare in modo più trasparente le attività di profilazione degli interessati.

Il Garante ha inoltre chiesto di integrare lo schema di decreto prevedendo specifiche garanzie per il differimento del diritto di accesso dei contribuenti che, all’esito degli accertamenti, saranno risultati in regola.

L’adeguatezza delle misure a tutela dei diritti e delle libertà degli interessati sarà verificata dall’Autorità nell’ambito dell’esame delle valutazioni di impatto sulla protezione dei dati che saranno predisposte da Agenzia delle entrate e Guardia di finanza, e del provvedimento del Direttore dell’Agenzia.

L'articolo Fisco, altolà del Garante a limitazione dei diritti dei cittadini proviene da Privacy Italia.

In caso di irregolarità e violazioni, il committente risponde insieme alla società che si occupa materialmente dell’invio di sms pubblicitari indesiderati.

Chi commissiona una campagna promozionale deve sempre verificare che le società incaricate di svolgerla operino correttamente e non utilizzino illecitamente i dati di consumatori che non desiderano essere disturbati. Questa la decisione del Garante per la privacy nel sanzionare due società per l’invio di milioni di sms pubblicitari.

L’Autorità era intervenuta su richiesta di due reclamanti che si lamentavano per la continua ricezione di messaggi indesiderati. Entrambi avevano provato a contattare la società che inviava i messaggi o quella che offriva le promozioni, chiedendo di non essere più disturbati, ma senza successo e senza neppure ottenere riscontri soddisfacenti su dove avessero acquisito i loro dati personali.

Nel corso dell’istruttoria, il Garante ha verificato che la società committente aveva incaricato un’azienda operante nel marketing di inviare sms promozionali a potenziali clienti. La società di marketing si era poi avvalsa di altri fornitori che a loro volta avevano acquisito le banche dati da terzi. In questa successione di passaggi, sul modello delle scatole cinesi, è emerso che i dati delle persone contattate provenivano da liste non verificate – con evidenti profili di illiceità – costituite da soggetti esteri con informazioni in parte derivanti da registrazioni a portali informativi o da concorsi online. Due list editor avevano dichiarato la propria sede in Florida e in Svizzera senza aver neppure nominato un proprio rappresentante in Italia, in violazione del GDPR. Al riguardo l’Autorità ha ricordato che l’ordinato svolgimento delle attività di marketing, con l’utilizzo di dati raccolti lecitamente e aggiornati, oltre ad evitare pericolose derive (quali phishing e truffe), giova al mercato stesso tutelando gli operatori virtuosi e rafforzando la fiducia degli interessati. È pertanto necessario adottare la massima diligenza nella selezione delle banche dati.

Il Garante ha quindi sanzionato la società committente per 400.000 euro, in quanto titolare del trattamento dei dati, per non aver mai verificato che l’azienda incaricata dell’attività promozionale eseguisse correttamente le istruzioni previste nel contratto.

Alla seconda società, in quanto fornitore del servizio di marketing, il Garante ha vietato l’uso di dati provenienti da fonti che non rispettino i requisiti minimi di legittimità e ha imposto una sanzione di 200.000 euro.

Una terza società, coinvolta nell’istruttoria per acquisire informazioni, ha ricevuto una sanzione di 90.000,00 euro per non aver mai dato riscontro alle richieste del Garante, reiterando una condotta omissiva già oggetto di precedente sanzione.

Tutte le sanzioni sono state calcolate sulla base di vari parametri, tra il cui fatturato societario, il grado di collaborazione offerto e la gravità delle violazioni commesse.

L'articolo Marketing selvaggio, il Garante sanziona tre società per l’uso di liste non consensate proviene da Privacy Italia.

Al via il piano ispettivo del Garante per il primo semestre del 2022.

Smart toys, cookie, app “rubadati”. Ma anche siti di incontri, monetizzazione dei dati, database. Sono questi i nuovi settori su cui si concentrerà il piano ispettivo per il primo semestre di quest’anno appena approvato dal Garante privacy.

L’attività di accertamento dell’Autorità, svolta anche in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, verificherà la correttezza dei trattamenti di dati personali effettuati dai siti di incontri, dagli operatori della cosiddetta monetizzazione dei dati, dai produttori e distributori di smart toys e quelli trattati mediante algoritmi e sistemi di intelligenza artificiale. Ma le attività ispettive riguarderanno anche i dati trattati da fornitori di database, la gestione dei cookies da parte delle piattaforme e dei siti web, l’uso dei sistemi di videosorveglianza.

Ulteriori accertamenti faranno luce sulla corretta individuazione dei titolari e dei responsabili del trattamento in ambiti pubblici e privati, anche in relazione all’utilizzo di app e altri applicativi spia.

Attenzione particolare sarà riservata all’acquisizione di dati personali da parte di app installate sugli smartphone e alla verifica del corretto trattamento dei dati da parte di app diverse da “Verifica C19”.

Il Garante potrà svolgere ulteriori attività ispettive d’ufficio, o sulla base di segnalazioni o reclami.

L'articolo Garante privacy: faro su cookies, smart toys e app rubadati proviene da Privacy Italia.