Cosa è successo nell’ultimo anno nel mondo della data protection?
Per celebrare i primi 4 anni dell’entrata in esecuzione del GDPR, lo Studio Legale E-Lex ha pubblicato un report con le novità più interessanti.
Oltre 200 pagine con i commenti ai principali provvedimenti del Garante per la protezione dei dati personali, le opinion dell’EDPB e le novità legislative.

Il Report può essere scaricato liberamente qui

L'articolo Un anno di Data Protection. Il report di E-Lex proviene da E-Lex.

L’AGCM sanziona quattro società energetiche per un totale di oltre 4 milioni di euro

L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha concluso sei procedimenti istruttori per pratiche commerciali scorrette nel prospettare le condizioni economiche di fornitura di energia elettrica e gas sul mercato libero.

In particolare, quattro istruttorie hanno portato all’accertamento di condotte ingannevoli e omissive in merito all’indicazione dei costi di fornitura dell’energia elettrica e/o del gas, e a sanzioni nei confronti di quattro società per un totale di oltre 4 milioni di euro. Le altre due istruttorie sono state chiuse con l’accettazione degli impegni proposti dalle società.

Fonte: sito ufficiale dell’AGCM

L’AGCM sanziona un gestore del servizio idrico per 600 mila euro

L’AGCM ha irrogato ad un gestore del servizio idrico, operante nel territorio abruzzese, una sanzione di 600 mila euro per essersi adeguato in ritardo, e solo parzialmente, agli obblighi informativi previsti dalla disciplina sulla prescrizione biennale, e per aver rigettato alcune istanze relative a crediti per consumi idrici fatturati dopo il 1° gennaio 2020. Da tale data, infatti, la disciplina della prescrizione biennale si applica anche ai servizi idrici e, dunque, i consumatori possono eccepirla per importi riferiti a consumi risalenti ad oltre due anni dalla data di emissione della bolletta.

L’Autorità ha ritenuto che i comportamenti del gestore integrino una pratica commerciale scorretta in quanto contrari alla diligenza professionale e idonei a falsare in misura apprezzabile il comportamento economico del consumatore in relazione, peraltro, ad un servizio di interesse primario.

Fonte: sito ufficiale dell’AGCM

L’AGCOM sanziona uno dei più importanti operatori nel settore delle piattaforme di e-commerce

Con la delibera n. 117/22/CONS pubblicata in data 11 maggio 2022, l’Autorità per le Garanzie nelle Comunicazioni (“AGCOM”) ha irrogato a un noto fornitore di servizi logistici relativi alla distribuzione delle merci una sanzione di 50.000 euro per aver violato le disposizioni della “Direttiva generale per l’adozione da parte dei fornitori di servizi postali delle carte dei servizi”, relative alla mancata indicazione sul sito web di un recapito telefonico gratuito per l’assistenza clienti.

L’Autorità ha chiarito che una procedura, c.d. “Click to call”, che consente all’utente di accedere in modo gratuito all’assistenza telefonica cliccando sull’apposito tasto per richiedere di essere chiamato al numero indicato al momento della registrazione, non costituisce una misura equivalente alla chiamata diretta gratuita fatta dall’utente al numero indicato sul sito web.

Fonte: sito ufficiale dell’AGCOM

L’AGCOM approva le nuove Linee guida ANAC-AGCOM per l’affidamento degli appalti pubblici di servizi postali

Con la delibera n. 116/22/CONS pubblicata in data 6 maggio 2022, l’AGCOM ha approvato le “Linee guida ANAC-AGCOM per l’affidamento degli appalti pubblici di servizi postali” e la relativa relazione sull’analisi dell’impatto della regolamentazione (AIR).

Tali Linee guida, pubblicate in Gazzetta Ufficiale della Repubblica Italiana in data 4 maggio 2022, sostituiscono quelle approvate dall’ANAC con la determinazione n. 3 del 9 dicembre 2014.

Fonte: sito ufficiale dell’AGCOM

L’AGCOM pubblica l’Accordo Quadro per l’applicazione delle norme riguardanti la portabilità del numero mobile

Alla luce delle precisazioni richieste dall’AGCOM con la delibera n. 86/21/CIR., in data 11 maggio 2022, è stato pubblicato l’Accordo Quadro per l’applicazione delle norme riguardanti la portabilità del numero mobile presentato dagli operatori mobili.

Tale Accordo Quadro attua e disciplina i principi, le disposizioni, gli obblighi, le facoltà, le procedure tecnico-amministrative, le modalità, i tempi e le condizioni economiche e generali per la realizzazione della prestazione di portabilità del numero mobile reciprocamente fornita dagli operatori mobili aderenti.

Fonte: sito ufficiale dell’AGCOM

La Corte di Cassazione sulla prova della capacità distintiva di un marchio

Con la sentenza n. 5491/2022, la Suprema Corte di Cassazione si è pronunciata riguardo alle modalità di valutazione della capacità distintiva di un marchio rappresentato da una striscia rettangolare colorata.

In particolare, la Cassazione ha sottolineato che la capacità distintiva del marchio e della sua percezione al pubblico non debbano essere necessariamente provate per mezzo di indagini demoscopiche, in attuazione del principio della libertà di formazione del convincimento del giudice di merito sulla base di ogni possibile mezzo di prova.

Fonte: DeJure

L'articolo What’s new in Italy on <br>IP, Competition and Innovation <BR> n.4 – Maggio 2022 proviene da E-Lex.

dicorinto.it/formazione/banche…

Sebbene si sia registrata, nei primi mesi del 2022, una battuta d’arresto nel mercato degli ormai noti NFT– probabilmente fisiologica a seguito del boom dello scorso anno – lo scambio dei non-fungible tokens continua ad essere tema di grande interesse, considerata la loro capacità di dar luogo ad attraenti flussi di reddito.

In tale contesto, appare rilevante la pubblicazione di un nuovo standard anti rug-pull, ERC-721R, ufficialmente rilasciato lo scorso 11 aprile e volto, tra le altre cose, a contrastare i progetti fraudolenti nel settore degli NFT.

I non-fungible tokensPreliminarmente, occorre far chiarezza su cosa siano gli NFT e cosa rappresentino da un punto di vista giuridico.

Un non-fungible token è un codice crittografico unico e non interscambiabile, rappresentativo dell’autenticità e della provenienza di un bene. Il trasferimento di NFT da un soggetto ad un altro è irreversibile e non duplicabile, grazie alla tecnologia di base utilizzata per il compimento delle transazioni: la blockchain.

Giuridicamente, pertanto, un NFT è un bene infungibile, che non può essere scambiato con altri beni appartenenti allo stesso tipo. È una stringa alfanumerica unica e peculiare, rappresentativa di un determinato asset, in quanto implementa un certificato digitale di autenticità ad esso riferibile.

Tale sistema di certificati di autenticità, associati ad un bene nativo digitale ovvero fisico, riesce a creare unicità o scarsità anche nel virtuale, rendendo così i non-fungible tokens collezionabili.

Nonostante gli NFT siano dilagati prevalentemente nel mondo della digital art, sono in realtà molteplici i settori che ne beneficiano: dal real estate al mondo della finanza, dal gaming alla moda, ed altri.

Nel 2017, come noto, Ethereum ha introdotto uno standard aperto, l’ERC721, che è stato il primo protocollo per la creazione di NFT e sino ad oggi il più utilizzato.

Prima dell’invenzione di tale standard, la maggior parte dei token erano solo fungibili, e per lo più rappresentativi di valute. Un token ERC721, invece, rappresenta un bene unico ed infungibile.

Il nuovo standard ERC-721R per la creazione di NFTSi è detto che il trasferimento di NFT da un soggetto ad un altro è, oltre che non duplicabile, irreversibile. Ciò in quanto l’esecuzione della transazione su blockchain rende impossibile “tornare indietro” una volta effettuata l’operazione, per il funzionamento stesso della tecnologia che ne è alla base.

Tale circostanza, se da un lato è ciò che rende unico e non fungibile il token in questione, nonchè sicuri, trasparenti e tracciabili tutti i trasferimenti di esso sulla catena di blocchi, dall’altro può avere anche delle conseguenze negative, come ad esempio la possibilità di rug-pull.

Nel mondo crypto, il termine rug-pull (letteralmente, “tiro del tappeto”) indica un tipo di truffa che si verifica generalmente quando gli sviluppatori di un progetto, dopo aver creato il token crittografico, ne “pompano” il valore al fine di attrarre il maggior numero di investitori possibili, per poi prelevare tutti i fondi ed abbandonare il progetto fraudolento.

Quando un NFT viene creato con il nuovo standard ERC-721R, ufficialmente rilasciato lo scorso 11 aprile, i fondi sono detenuti in un conto di deposito a garanzia, vincolato da uno smart contract.

Tali fondi non possono essere prelevati, dai creatori, se non dopo il decorso di un periodo di attesa che consente agli acquirenti di restituire il proprio NFT e di ricevere un rimborso dal contratto intelligente sottoscritto.

In tal modo, pur essendo l’acquisto dell’NFT irreversibile, se durante tale periodo di tempo i creatori decidono di fare rug-pull, gli acquirenti potranno richiedere il rimborso dei loro fondi prima della fine del periodo di attesa, perdendo solo le gas fees sostenute per i costi di transazione.

L’utilizzo di tale nuovo protocollo per la generazione di NFT, pertanto, sarebbe sicuramente più vantaggioso per gli acquirenti, che nella peggiore delle ipotesi – rispettando, però, la scadenza temporale prevista – perderebbero soltanto le commissioni per elaborare e convalidare le transazioni sulla blockchain.

D’altro canto, anche i venditori creatori dei token ne trarrebbero giovamento, creando fiducia nel mercato ed attraendo dalla loro parte un maggior numero di investitori.

Inoltre, l’applicazione dello standard ERC-721R potrebbe risolvere anche un altro dei principali controversi aspetti giuridici legati allo scambio di NFT, vale a dire la non applicabilità del diritto di recesso previsto dall’art. 52 del Codice del Consumo.

Infatti, se in linea di principio l’irreversibilità della transazione non rende possibile l’esercizio di tale diritto, il descritto meccanismo del vincolo delle somme alla base del nuovo protocollo, non permettendo ai venditori di prelevare le somme sino alla scadenza di un dato termine, potrebbe consentire all’acquirente di effettuare un “reso” dell’NFT senza perdita dei fondi, in caso di ripensamento dell’acquisto.

Gabriella Amato

L'articolo ERC-721R, il nuovo standard anti rug-pull contro le vendite di NFT fraudolente proviene da E-Lex.

PNRRI primi avvisi per la digitalizzazione di scuole e comuni

Nel corso del mese di aprile sono stati pubblicati i primi avvisi in ambito PNRR per la digitalizzazione di comuni e scuole.
I primi avvisi sono relativi a identità digitale, App IO, pagoPA, cloud e servizi digitali.
Tutte le informazioni per partecipare ai bandi pubblici sono disponibili sulla piattaforma PA Digitale 2026.

Vai al sito PA Digitale 2026

Identità digitaleContinua la crescita dell’identità digitale: superati i 30 milioni di identità Spid

Traguardo importante per SPID. A inizio maggio sono stati superati i 30 milioni di identità digitali SPID in Italia, di cui 10 milioni attivate solo nell’ultimo anno. Una crescita importante considerando che prima dell’inizio della pandemia, il numero di identità digitali era inferiore ai 6 milioni

Leggi la notizia

Cloud della PAEntro il 18 luglio le PA devono effettuare la classificazione di dati e servizi

Entro il 18 luglio 2022 le amministrazioni dovranno effettuare la classificazione dei propri dati e dei propri servizi secondo criteri definiti dall’Agenzia per la cybersicurezza nazionale (ACN) che sarà poi chiamata a verificare quanto dichiarato dai singoli enti. Per facilitare questo processo, il Governo ha pubblicato un avviso che prevede lo stanziamento di 500 milioni di euro destinati alle amministrazioni comunali.

Leggi la notizia

AccessibilitàPubblicate le linee guida e il regolamento sanzionatorio per i soggetti privati

L’Agenzia per l’Italia Digitale ha pubblicato le Linee Guida sull’accessibilità degli strumenti informatici per i soggetti privati con un fatturato medio, negli ultimi tre anni di attività, superiore a cinquecento milioni di euro. Contestualmente l’Agenzia ha anche pubblicato il Regolamento che disciplina le modalità di accertamento e di esercizio del potere sanzionatorio.

Leggi la notizia

Videoconferenze e giunte da remotoPer lo svolgimento delle riunioni in videoconferenza gli Enti locali devono adottare uno specifico regolamento

Il Ministero dell’Interno ha pubblicato una circolare interpretativa sulla possibilità di svolgimento dei Consigli Comunali in videoconferenza. In particolare il Ministero ha chiarito che per lo svolgimento delle riunioni in videoconferenza è necessaria l’adozione di un apposito regolamento.

Leggi la notizia

L'articolo What’s new in Italy on Digital Administration<BR> n.3 – Maggio 2022 proviene da E-Lex.

Lo scorso 30 marzo è stato pubblicato sulla Gazzetta Ufficiale il Regolamento di Banca d’Italia concernente il trattamento di dati personali effettuato nell’ambito della gestione degli esposti riguardanti la trasparenza delle condizioni contrattuali, la correttezza dei rapporti tra intermediari e clienti e i diritti e gli obblighi delle parti nella prestazione dei servizi di pagamento.

Come noto, Banca d’Italia (in qualità di Autorità di vigilanza bancaria e finanziaria) riceve numerose segnalazioni riguardanti la trasparenza delle condizioni contrattuali, la correttezza dei rapporti tra intermediari vigilati e clientela, nonché i diritti e gli obblighi delle parti nella prestazione dei servizi di pagamento.

Al fine di gestire detti esposti e vista l’ingente quantità di esposti che quotidianamente vengono trasmessi alle diverse filiali della Banca d’Italia, questa utilizza un sistema di IA al fine di ottimizzare il patrimonio informativo contenuto negli esposti, per poterne ricavare elementi utili su fenomeni d’interesse per l’attività di vigilanza che la stessa conduce sugli intermediari bancari e finanziari e, in particolare, al fine di: (i) individuare le fattispecie che presentano similarità; (ii) trarre informazioni utili per la trattazione dell’esposto e per l’attività di vigilanza.

In particolare, l’attività di analisi effettuata dall’IA viene effettuata attraverso l’uso di un motore di ricerca in grado di accedere ai documenti presentati all’Autorità e di ricercare tutte le informazioni presenti negli esposti riconducibili a un determinato servizio o prodotto finanziario. Successivamente, il sistema aggrega gli esposti in cluster (assegnando tag esemplificativi del contenuto) che, tuttavia, non sono determinati sulla base dei dati personali degli esponenti, né dei soggetti terzi.

In tal senso, è escluso che l’algoritmo possa effettuare una qualsiasi forma di profilazione o predizione di comportamenti delle persone fisiche che a vario titolo possono essere coinvolte nella vicenda. Tanto è confermato dalla circostanza che dai risultati dell’analisi non derivano conseguenze sanzionatorie o decisioni automatiche su sugli interessati, né impattano sulle decisioni rimesse alla Banca d’Italia in relazione agli esposti.

Nel Regolamento, l’Autorità approfondisce, inoltre, le misure di sicurezza implementate ai sensi dell’art. 32 del GDPR e, nello specifico, quelle applicate all’utilizzo dei sistemi di IA. In tal senso, è stato previsto il periodico monitoraggio e aggiornamento delle logiche che gli algoritmi di machine learning utilizzano su un determinato insieme di dati (cosiddetto “training dataset”), che, pertanto, sotto sottoposti ad un processo continuo di riaddestramento.

In tale contesto, l’algoritmo viene, pertanto, periodicamente riaddestrato non appena si ritiene che il set di informazioni (o l’interpretazione ad essi associata) possa impattare sui risultati delle analisi.

Inoltre, l’applicazione di machine learning è costruita in modo tale da fornire una “spiegazione” del funzionamento interno dell’algoritmo.

Ariella Fonsi

L'articolo UTILIZZO DI ALGORITMI DI CLUSTERING PER FINALITÁ DI INTERESSE PUBBLICO RILEVANTE NEL RECENTE REGOLAMENTO DI BANCA D’ITALIA proviene da E-Lex.

Di recente, la Corte di Giustizia dell’Unione europea (“CGUE”) si è pronunciata, in seguito a rinvio pregiudiziale, sull’interpretazione dell’art. 80, paragrafo 2, del Regolamento UE 679/2016 (“GDPR” o “Regolamento”) in materia di ricorsi, concludendo che anche un’associazione di tutela degli interessi dei consumatori può agire in giudizio, in assenza di un mandato e/o indipendentemente dalla violazione di specifici diritti degli interessati, contro il presunto autore di un atto pregiudizievole per la protezione dei dati.

I mezzi di ricorso a tutela dei diritti dell’interessato al Capo VIII del Regolamento

Preliminarmente all’analisi compiuta dalla CGUE sul tema dei ricorsi e dei reclami, giova ricordare che il Capo VIII del GDPR, intitolato “Mezzi di ricorso, responsabilità e sanzioni”, prevede che l’interessato ha il diritto di presentare un reclamo dinanzi ad un’autorità di controllo di uno Stato membro, secondo quanto previsto dall’art. 77 del GDPR, oppure un ricorso dinanzi ai tribunali ordinari nazionali, ai sensi degli artt. 78 e 79 del GDPR, sia avverso una decisione dell’autorità di controllo sia nei confronti del titolare del trattamento o del responsabile del trattamento.

In particolare, per quanto rileva in questa sede, merita soffermarsi sugli artt. 80, 81 e 84 del Regolamento. L’art. 80, paragrafo 1, del GDPR prevede che l’interessato ha il diritto di dare mandato di proporre ricorso per suo conto ad un organismo, un’organizzazione o un’associazione senza scopo di lucro, debitamente costituiti secondo il diritto di uno Stato membro e che perseguano obiettivi di pubblico interesse, oltre che essere attivi nel settore della protezione dei diritti e delle libertà degli interessati.

Dalla lettura del paragrafo 1, è evidente il ruolo attivo attribuito nei confronti degli organismi e delle organizzazioni nel promuovere una tutela, eventualmente anche risarcitoria, degli interessati, a condizione del possesso di due requisiti: i) la costituzione dell’organismo secondo il diritto di uno Stato membro; ii) essere attivi nel settore della protezione dei diritti e delle libertà degli interessati, perseguendo tali obiettivi da statuto. Il primo è un requisito meramente formale1. Il secondo requisito, invece, presuppone un’indagine da svolgere con riguardo all’attività concreta, sia per il tramite dello scrutinio dello statuto dell’ente, sia per il tramite della verifica effettiva delle attività nel settore della protezione dei diritti e delle libertà degli interessati.

L’art. 80, paragrafo 2, del GDPR, dall’altro lato, prevede che un organismo, un’organizzazione o un’associazione aventi le medesime caratteristiche descritte al paragrafo 1, possono agire, indipendentemente dal mandato conferito dall’interessato, sia di fronte all’autorità di controllo, sia di fronte ai tribunali ordinari nazionali, se si ritiene che i diritti di un interessato siano stati violati in seguito al trattamento.

Con riguardo a questa disposizione, la dottrina prevalente ha ritenuto che per attribuirsi un mandato istituzionale ex lege dovrebbe darsi esito positivo alle stringenti verifiche non soltanto statuarie, ma anche sostanziali, relativamente a quelle caratteristiche che l’art. 80, paragrafo 1, richiama.

L’art. 84, infine, prevede che gli Stati membri stabiliscono le norme relative alle altre sanzioni per la violazione del Capo VIII del Regolamento, in particolare con riguardo a quelle violazioni che non sono soggette alle sanzioni amministrative di cui all’art. 83 dello stesso Regolamento.

La vicenda del caso in analisi

La vicenda sottoposta alla CGUE ha avuto origine dalla creazione di un’applicazione denominata “App-Zentrum” da parte della società Meta Platforms Ireland (“Società”), finalizzata ad offrire giochi gratuiti agli utenti di social network. La suddetta App consentiva l’acquisizione di dati personali e, non solo, di procedere alla pubblicazione degli stessi a seconda delle vincite e dei punteggi totalizzati da parte degli utenti.

Sul punto, l’Unione federale (“Unione”) – associazione dei consumatori tedesca – ravvisava che le informazioni fornite agli utenti non fossero in conformità con quanto disciplinato dalla normativa sulla protezione dei dati e su quella a tutela del consumatore. In particolare, l’Unione sosteneva che il consenso non fosse validamente acquisito, oltre che le informazioni fossero da ritenersi sleali nei confronti dei consumatori.

Pertanto, l’Unione federale proponeva azione inibitoria di fronte al Tribunale del Land di Berlino contro la Società, pur in assenza di una violazione concreta del diritto alla tutela dei dati di un interessato e di un mandato a lui conferito. Sul punto, il giudice del rinvio in Cassazione, di fronte al quale è stato proposto ricorso contro la sentenza di accoglimento dell’azione, dubitava circa la ricevibilità dell’azione dell’Unione, nei termini di legittimazione attiva ad agire, alla luce dell’applicazione degli artt. 80, paragrafi 1 e 2, nonché dell’art. 84, paragrafo 1 del GDPR, e, pertanto, agiva di fronte alla CGUE su rinvio pregiudiziale.

Conclusione: l’interpretazione della CGUE dell’art. 80 del GDPR

Considerato quanto premesso, il rinvio pregiudiziale verteva principalmente sulla questione se un’associazione di tal genere – ossia quella che agisce a tutela dei diritti dei consumatori – possa agire contro una società in assenza di un mandato che le sia stato conferito ed indipendentemente dalla violazione di specifici diritti degli interessati.

La Commissione della CGUE ha ritenuto che, invero, la questione dipendesse dalla sola interpretazione dell’art. 80, paragrafo 2 del GDPR, alla luce del fatto che il paragrafo 1 dell’art. 80 presuppone la concessione di un mandato e che tale circostanza non riguardasse il caso di specie e che l’art. 84 del GDPR riguardasse l’applicazione delle sanzioni, aspetto che, in ogni caso, non era stato oggetto di discussione.

La Corte ha osservato che, anche in forza del margine di discrezionalità riconosciuto agli Stati membri nell’attuazione della disciplina europea secondo anche quanto previsto dall’art. 288 del TFUE in combinato disposto con i considerando 9, 10 e 13 del GDPR, la disciplina del Regolamento non ostava con la disciplina nazionale, rientrando nel predetto margine di discrezionalità. Per la precisione, la disciplina nazionale, difatti, prevede la legittimazione ad agire da parte delle associazioni dei consumatori a tutela della protezione dei dati.

Nella sua analisi, la Corte ha ritenuto che l’Unione, in qualità di associazione dei consumatori, fosse in possesso di quei requisiti di cui all’art. 80 del GDPR. In primo luogo, l’Unione rientra in quella nozione di organismo, organizzazione e associazione, senza scopo di lucro, costituita secondo il diritto interno e avente obiettivi statutari di pubblico interesse ed attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali. Difatti, l’Unione persegue un obiettivo di interesse pubblico, consistente nell’assicurare i diritti e le libertà degli interessati nella loro qualità di consumatori, correlandosi tale finalità con la protezione dei dati personali di questi ultimi.

In secondo luogo, l’Unione agisce nella misura in cui ritenga che i diritti di cui un interessato gode siano stati violati in seguito al trattamento dei dati personali. La Corte precisava, nello specifico, che non è necessario che la violazione sia concreta, ma esclusivamente che vi sia un trattamento di dati contrario a disposizioni del Regolamento e che, pertanto, la violazione possa essere potenziale.

A valle di tale riflessione, la Corte ha ritenuto che il fatto di legittimare delle associazioni a tutela dei consumatori, come nel caso di specie l’Unione federale, ad instaurare, mediante un meccanismo rappresentativo, azioni intese a far cessare trattamenti di dati contrari alle disposizioni del Regolamento, indipendentemente dalla violazione dei diritti di una persona individualmente e concretamente pregiudicata dalla violazione, contribuisse – in modo incontestabile – a “rafforzare i diritti degli interessati e ad assicurare loro un elevato livello di protezione”. Anzi, la Corte ha aggiunto che il ricorso da parte di un’associazione potesse ritenersi ancora più efficace rispetto all’azione di un singolo individuo.

Pertanto, posto quanto sopra riportato, la Corte ha concluso che l’art. 80 GDPR deve essere interpretato nel senso che non osta ad una normativa nazionale che consente ad un’associazione di tutela degli interessi dei consumatori di agire in giudizio, in assenza di un mandato che le sia stato conferito per quel determinato scopo ed indipendentemente dalla violazione di specifici diritti degli interessati, qualora il trattamento dei dati in questione sia idoneo a pregiudicare i diritti riconosciuti dal GDPR agli interessati.

Si ritiene chela decisione della CGUE abbia indubbiamente contribuito ad innovare l’interpretazione dell’art. 80 del GDPR chiarendone l’ambito di applicazione e configurando la concreta possibilità di estensione della legittimazione ad agire a tutela dei dati personali.

Fabiola Iraci Gambazza

1 A titolo esemplificativo, in Italia, tale requisito può essere soddisfatto con l’iscrizione nel registro unico nazionale del terzo settore, ai sensi dell’art. 22 del D. lgs. n. 117/2017.

L'articolo La Corte di Giustizia sui mezzi di ricorso previsti dal GDPR: anche le associazioni dei consumatori possono agire per la protezione dei dati personali proviene da E-Lex.

Utilizzo di algoritmi valutativi nelle scuole: rating reputazionale sotto la lente del Garante privacy

Con un comunicato del 3 maggio 2022, il Garante per la protezione dei dati personali ha inviato una richiesta di informazioni all’Associazione Crop News Onlus, operante nel settore del rating “reputazionale”, che avrebbe promosso un progetto per sperimentare, nei confronti degli studenti, il rating “reputazionale” elaborato sulla base di algoritmi dalla Piattaforma Mevaluate.

Sul tema dell’utilizzo di piattaforme per l’elaborazione di profili reputazione, peraltro, il Garante Privacy si era espresso con il provvedimento n. 488 del 2016, ritenendo che i trattamenti di dati personali effettuati dal titolare della piattaforma oggetto di verifica da parte dell’Autorità non fossero conformi con gli artt. 2, 3, 11, 13, 23, 24 e 26 dell’ex Codice Privacy.

Il Garante, considerata la delicatezza del progetto che si rivolge a soggetti particolarmente vulnerabili (studenti e minori), ha chiesto all’Associazione di far pervenire entro 30 giorni ogni informazione utile alla valutazione del trattamento di dati effettuato.

Leggi il comunicatoLeggi il provvedimento

Il Garante Privacy chiede maggiori garanzie sulla piattaforma per i referendum online

Il Garante per la protezione dei dati personali ha fornito un parere non favorevole al Ministero per l’innovazione tecnologica sullo schema di Dpcm che fissa le regole della piattaforma per la raccolta delle firme per referendum e progetti di legge.

L’Autorità ritiene che siano troppi i profili critici emersi dall’esame di un provvedimento che incide su istituti di democrazia diretta costituzionalmente garantiti, quali appunto i referendum.

Il testo sottoposto all’Autorità, infatti, risulta attualmente privo di adeguate tutele per il pieno rispetto dei diritti e delle libertà fondamentali dei cittadini e, per tale ragione, ha indicato al Ministero una dettagliata serie di condizioni e osservazioni alle quali attenersi, al fine di scongiurare il rischio che si verifichino trattamenti di dati personali non conformi alla normativa vigente.

Leggi il provvedimento

Il Garante Privacy sanziona un ente di ricerca pubblico per l’inadeguatezza delle misure di sicurezza a protezione delle password

Con il provvedimento n. 46 del 2022, il Garante per la protezione dei dati personali ha applicato nei confronti di un ente di ricerca pubblico, titolare del trattamento, una sanzione di € 6.000,00, per la violazione dei principi di cui agli artt. 5, par. 1, lett. f e 32 del Regolamento (UE) 2016/679.

Dal provvedimento si evince che se il titolare del trattamento è tenuto ad individuare le migliori misure a protezione delle password, in ossequio al principio di responsabilizzazione, il fatto di non adottare neanche le misure contenute nell’Allegato B del Codice o nella Circolare n. 2/2017 dell’AgID, precedenti al Regolamento UE (2016/679), non può che comportare il rischio, per il titolare del trattamento, di vedersi irrogata una sanzione da parte del Garante Privacy.

Leggi il provvedimento

Telemarketing: nuovo registro pubblico delle opposizioni

Il 13 aprile 2022 è entrato in vigore il d.p.r. 26/2022, vale a dire il regolamento di riforma del registro pubblico delle opposizioni (RPO), che sarà operativo dal 27 luglio 2022.

Il nuovo RPO amplia il suo originale ambito di iscrizione e modifica, di conseguenza, le modalità con cui società e operatori potranno svolgere attività di telemarketing.

Tra le principali novità si segnalano:

• l’inclusione nella definizione di “contraente” anche delle persone giuridiche, degli enti e delle associazioni;
• estensione dell’ambito di applicazione anche ai numeri telefonici fissi, siano essi presenti in elenchi pubblici o meno, ai numeri telefonici mobili e agli indirizzi postali;
• estensione del diritto di opposizione alle forme di marketing svolte mediante telefonate automatizzate, ossia effettuate in via automatizzata senza l’intervento di un operatore.

Leggi il decreto

Il Garante Privacy sanziona un Responsabile del trattamento per l’inadeguatezza delle misure di sicurezza adottate

L’Autorità ha ingiunto una sanzione pecuniaria di € 10.000,00 esclusivamente nei confronti di un Responsabile del trattamento, una società fornitrice di software, per la violazione dei principi di cui agli artt. 5, par. 1, lett. f) e 32 del Regolamento (UE) 2016/679 (di seguito “GDPR” o “Regolamento”), a seguito di una violazione dei dati personale concernente i dati contenuti in una piattaforma utilizzata per la gestione delle contravvenzioni al Codice della strada.

Secondo l’Autorità, non si ravvisavano i presupposti per adottare un provvedimento nei confronti del titolare del trattamento, un ente pubblico, poiché il responsabile del trattamento era risultato inadempiente all’obbligo di prevedere misure di sicurezza adeguate sulla base del contratto stipulato con il titolare del trattamento. Si deve ricordare, infatti, che l’art. 28 del GDPR consente al titolare del trattamento di affidare un trattamento a terzi soggetti che presentino le competenze per adottare adeguate misure di sicurezza.

Si tratta di una pronuncia dalla portata decisamente innovativa se si considera che, in linea generale, le sanzioni del Garante sono rivolte principalmente a Titolari del trattamento o, al più, in maniera congiunta a Titolari e Responsabili del trattamento.

Leggi il provvedimento

L'articolo What’s new in Italy on Data Protection<BR> n.4 – Maggio 2022 proviene da E-Lex.

Giovanni Maria Riccio

Giovanni Maria Riccio sarà relatore su intelligenza artificiale, arte e diritto d’autore nell’ambito del Catania Book Festival – Fiera Internazionale del Libro e della Cultura, sabato 7 maggio, alle ore 11.

L’evento vedrà la partecipazione di numerose personalità del mondo della Cultura quali, fra le tante, Francesca Michielin, Paolo Calabresi, Lisa Ginzburg, Jonathan Bazzi, Maura Gancitano, Andrea Colamedici, Peter Gomez e rappresentanti di importanti realtà istituzionali e associative come l’Università degli Studi di Catania, Amnesty International, Arcigay.
Ulteriori informazioni qui: siciliaeventi.org/evento/catan…

L'articolo Il Prof. Giovanni Maria Riccio al Catania Book Festival proviene da E-Lex.