La Data Protection Authority belga, con decisione n. 21 del 2 febbraio 2022, ha stabilito che la versione 2.0 del Transparency & Consent Framework (TCF) di IAB Europe non è conforme al Regolamento (UE) 2016/679. Si tratta di una pronuncia dalla portata dirompente, in special modo se si considera che migliaia di operatori nel campo della pubblicità digitale fondano la propria attività sugli standard fissati dal TCF.

Secondo la Data Protection Authority belga (DPA), il TCF predisposto da IAB (Interactive Advertising Bureau) Europe, con il supporto di IAB Tech Lab, per la raccolta e la condivisione del consenso degli utenti all’erogazione di contenuti e annunci pubblicitari online, viola le disposizioni di cui agli artt. 5, comma 1 (lett. a ed f), 6, 12, 13, 14, 25, 32, 37-39, del Regolamento (UE) 2016/679 (di seguito GDPR) e, per tale ragione, ha comminato nei confronti di IAB Europe una sanzione di 250.000 euro.

La decisione, peraltro, è solo formalmente emessa dal Garante belga, il quale ha operato in qualità di Lead Authority che guida e decide nei casi che coinvolgono contemporaneamente più territori dell’Unione (c.d. “one-stop-shop” previsto dall’art. 60 del GDPR), cooperando con le Autorità di tutti gli Stati membri dell’UE.

1. Il TCF e la pubblicità digitaleIl TCF di IAB Europe, diffuso nel 2018 e aggiornato nel 2020, è un framework che si pone l’obiettivo di rendere conformi alla disciplina in materia di protezione dei dati personali, in particolare al GDPR, le modalità con cui gli editori, i fornitori di adtech e le agenzie possono gestire e fornire annunci pubblicitari.

Il TCF, tra l’altro, consente di accedere ad una Consent Management Platform (CMP), vale a dire una piattaforma in cui gli editori di siti web possono comunicare ai visitatori/utenti quali dati vengono raccolti e con quali aziende collaborano per la loro elaborazione. Le CMP, in particolare, assicurano, da un lato, l’implementazione tecnica di un banner attraverso il quale gli interessati possono indicare le loro scelte in merito al trattamento dei loro dati personali. Dall’altro, consentono la condivisione tra gli aderenti al framework delle preferenze stesse dell’utente registrate in un file, la “TC string”, che le memorizza sotto forma di cookie euconsent-v2, al fine di contribuire al Real Time Bidding (o asta in tempo reale), denominato anche “OpenRTB”1.

2. Violazioni del GDPRNonostante lo scopo prefissato da IAB Europe con la predisposizione del TCF, ovvero garantire la conformità al GDPR delle modalità di gestione e fornitura degli annunci pubblicitari, la DPA ha riscontrato alcune violazioni della normativa, che possono essere sintetizzate come segue.

• Mancata qualificazione di IAB Europe come titolare del trattamento

La DPA ha constatato che IAB, non qualificandosi come titolare del trattamento, non ha adempiuto ai principali obblighi e alle responsabilità che il GDPR attribuisce ai titolari del trattamento.

Tuttavia, dalla ricostruzione effettuata dal Garante è emerso che IAB Europe, nella propria attività, stabilisce i mezzi di elaborazione della TC string e del cookie euconsent-v2, sia per il servizio specifico che per i consensi di portata globale, e, pur limitandosi a raccomandare alle CMP di utilizzare un cookie di prima parte, senza imporre un meccanismo specifico per memorizzare il consenso degli utenti nel browser, può fornire un elenco di possibili meccanismi per collegare la TC String a un singolo utente.

Per tali ragioni e tenuto conto della definizione di cui all’art. 4 (n. 7), quindi, il Garante ha qualificato IAB Europe come titolare del trattamento dei dati personali, mentre i soggetti partecipanti al mercato della pubblicità digitale – secondo la DPA – devono essere inquadrati come contitolari del trattamento ai sensi dell’art. 26 del GDPR.

• 2.2 Liceità e correttezza del trattamentoLa prima conseguenza della mancata qualificazione come titolare è che IAB Europe non ha identificato una base legale per l’elaborazione della stringa TC. Inoltre, le basi legali fornite dal TCF per l’ulteriore elaborazione da parte dei fornitori di adtech sono inadeguate.

Il Garante, infatti, ha evidenziato la mancanza di un consenso inequivocabile espresso da parte dagli utenti al trattamento e l’impossibilità di ipotizzare, in extremis, l’interesse legittimo (art. 6, par. 1, lett. f, GDPR) come base del trattamento, poiché l’interesse legittimo di IAB Europe non può essere ritenuto prevalente rispetto ai diritti e alle libertà degli interessati.

• 2.3. Mancanza di trasparenzaL’Autorità ha rilevato, inoltre, la violazione degli obblighi derivanti dal principio di trasparenza disciplinato dal GDPR (artt. 12, 13, 14), poiché le modalità con cui le informazioni sono fornite agli interessati, stabilite da IAB Europe, non sono conformi ai requisiti di trasparenza, comprensibilità e accessibilità. In linea generale, infatti, gli interessati devono sempre essere in grado di determinare in anticipo la portata e le conseguenze del trattamento e non dovrebbero essere messi a conoscenza a posteriori di trattamenti non previsti concernenti i propri dati personali.

• 2.4. Violazioni concernenti il principio di accountability, le misure di sicurezza e i principi di privacy by default/by designInoltre, IAB Europe non ha provveduto a:

• adottare misure organizzative e tecniche conformi al principio della protezione dei dati sin dalla progettazione e per impostazione predefinita, per garantire, tra l’altro, l’esercizio effettivo dei diritti degli interessati e la validità e integrità della verifica delle scelte dell’utente;
• aggiornare gli attuali registri delle attività di trattamento includendo il trattamento dei dati personali nel TCF da parte di IAB Europe, in conformità con l’articolo 30 del GDPR;
• effettuare una valutazione d’impatto ai sensi dell’art. 35 del GDPR;
• nominare un Data Protection Officer (DPO), nel rispetto gli artt. 37-39 GDPR.

3. DecisioneIl Garante belga, oltre a sanzionare IAB Europe, ha ordinato alla società di allineare il trattamento dei dati personali nel contesto del TCF alle disposizioni del GDPR, adottando le seguenti misure:

● individuare una valida base giuridica per il trattamento e la diffusione delle preferenze dell’utente ai sensi del TCF, nonché vietare l’uso del legittimo interesse come base per il trattamento dei dati personali da parte delle organizzazioni partecipanti al TCF;

● assicurare efficaci misure di monitoraggio tecnico e organizzativo al fine di garantire l’integrità e la riservatezza della TC String;

● verificare a fondo i soggetti partecipanti al TCF per assicurarsi che soddisfino i requisiti del GDPR;

● adottare misure tecniche e organizzative per impedire che il consenso al trattamento sia espresso per impostazione predefinita nelle interfacce CMP e per impedire l’autorizzazione automatica alla comunicazione dei dati degli utenti ai venditori partecipanti, sulla scorta del presunto interesse legittimo per le loro attività di trattamento;

● far sì che le CMP adottino un approccio uniforme e conforme al GDPR per le informazioni da trasmettere agli utenti;

● aggiornare gli attuali registri delle attività di trattamento, includendo il trattamento dei dati personali nel TCF da parte di IAB Europe;

● effettuare una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR (DPIA) in relazione alle attività di trattamento svolte nell’ambito del TCF;

● nominare un responsabile della protezione dei dati (DPO).

Tali misure di conformità dovranno essere implementate entro sei mesi dalla convalida di un piano d’azione da parte del Garante belga e, in caso di mancato rispetto del suddetto termine, è prevista un’ulteriore sanzione di 5.000 euro per ogni giorno di ritardo.

A seguito di tale decisione, da un lato, IAB Europe sarà chiamata ad intervenire sensibilmente su molte delle sue prassi; dall’altro, gli aderenti al framework di IAB saranno tenuti ad intraprendere alcune azioni per conformarsi al GDPR, come, ad esempio:

• procedere alla sottoscrizione di un apposito accordo di contitolarità volto a regolamentare l’assetto dei rapporti privacy tra le parti, anche al fine di determinare le rispettive responsabilità (art. 26 GDPR);
• analizzare i rischi e valutare l’impatto sulla protezione dei dati personali in relazione al trattamento dei dati personali nell’ambito del TCF;
• aggiornare le informative alla luce delle valutazioni del Garante belga.

Nei prossimi mesi dovranno essere attentamente valutati gli effetti della decisione, in particolar modo sotto il profilo commerciale. Infatti, le società che fino ad ora hanno fatto affidamento su un sistema di marketing fondato sugli standard fissati dal TCF saranno costrette a rivedere le proprie strategie promozionali.

Alessandro Perotti

1 L’OpenRTB (o RTB), in linea generale, è una modalità di compravendita all’asta di spazi pubblicitari online, che prende avvio nel momento in cui un utente carica nel browser una pagina che contiene uno spazio pubblicitario. A quel punto, le informazioni riguardanti la pagina e l’utente vengono trasmesse ad un software per lo scambio di annunci, che le mette all’asta e le vende all’inserzionista disposto a pagare il prezzo più alto. Gli inserzionisti (advertisers), che in genere utilizzano le Demand Slide Platform (DSP) per decidere quali impressions acquistare e quando, da un lato, e gli editori (publishers), che utilizzano le Sell Side Platform (SSP) per cercare di ottimizzare la vendita degli spazi pubblicitari a loro disposizione, dall’altro, si incontrano negli Ad Exchange, veri e propri “mercati di impressions” nel quale l’asta si conclude nel giro di pochi istanti con il caricamento dell’annuncio vincente nella pagina web.

L'articolo Il Transparency & Consent Framework di IAB Europe viola il GDPR proviene da E-Lex.

Intervista a Arturo Di Corinto SkyTg24 12 Marzo 2022

dicorinto.it/articoli/intervis…

Sicurezza informaticaAumenta il rischio cyber per le pubbliche amministrazioni italiane

Il conflitto tra Russia e Ucraina ha scatenato in Europa anche una vera e propria cyberwar. In queste settimane l’Agenzia per la cybersicurezza nazionale e il Computer Security Incident Response Team – Italia hanno più volte messo in evidenza che anche le amministrazioni italiane devono prestare particolare attenzione alla sicurezza informatica alla luce dell’aumentare delle attività malevole.

Leggi la news

Cloud della PAOnline la Circolare esplicativa AGID

L’Agenzia per l’Italia Digitale ha pubblicato una nuova Circolare, la n.1 del 28 febbraio 2022, sul tema del cloud della PA. Il documento fornisce alle amministrazioni e ai loro fornitori alcuni chiarimenti, indicazioni ed elementi informativi per l’applicazione univoca delle norme del nuovo Regolamento sul “Cloud della PA” pubblicato lo scorso dicembre.

Consulta la circolare

AccessibilitàDisponibile lo strumento per la definizione e pubblicazione degli obiettivi annuali di accessibilità

L’Agenzia per l’Italia Digitale ha pubblicato lo strumento per la definizione e pubblicazione degli obiettivi annuali di accessibilità. A partire da quest’anno, la pubblicazione degli obiettivi di accessibilità potrà essere effettuata dal Responsabile della transizione digitale (RTD) sul portale form.agid.gov.it nella apposita sezione dedicata agli Obiettivi di Accessibilità.

Ricordiamo che le amministrazioni devono provvedere entro il 31 marzo prossimo.

Consulta la nota AGID

Identità digitale AGID adotta le Linee guida SPID per minori

L’Agenzia per l’Italia Digitale ha pubblicato le Linee guida operative per il rilascio dell’identità digitale in favore dei minori. Le Linee guida consentiranno ai ragazzi – dai 5 anni in poi – di ottenere e usare SPID per l’accesso ai servizi digitali sotto la supervisione dei genitori.

Leggi la notizia

Anticorruzione e trasparenzaPrevenzione della corruzione e della trasparenza: istituito il Registro dei Responsabili

L’Autorità nazionale anticorruzione ha istituito il Registro dei Responsabili della prevenzione della corruzione e della trasparenza (Rpct). L’introduzione del registro ha il fine di rendere rapida ed efficace l’interlocuzione tra i responsabili presenti nelle amministrazioni e negli enti.

La costituzione del Registro è, inoltre, funzionale alla creazione di una rete nazionale dei Responsabili stessi.

Consulta la nota ANAC

L'articolo What’s new in Italy on Digital Administration<BR> n.2 – Marzo 2022 proviene da E-Lex.

Dopo una lunga “gestazione”, è stata finalmente approvata la “Personal Information Protection Law” (PIPL), la nuova legge cinese in materia di protezione dei dati personali, in vigore dal 1° novembre 2021.

L’ordinamento cinese, con una scelta fondamentale in un’economia globalizzata, ha deciso di seguire le tracce dell’Unione europea, andando a ricalcare molte delle disposizioni presenti nel GDPR.

Innanzi tutto, l’ambito di applicazione della nuova normativa, che abbraccia tre casistiche principali: a) le attività di trattamento svolte nel territorio cinese; b) la fornitura di prodotti o servizi ai cittadini cinesi oppure l’analisi dei loro comportamenti; c) tutti gli altri casi previsti dalle leggi speciali nazionali.

Nel caso in cui un soggetto stabilito fuori dal territorio cinese tratti dati personali che rientrano nel perimetro del PIPL, allora, ai sensi dell’articolo 53, sarà tenuto ad avere uno stabilimento in Cina o a designare un rappresentante, segnalando il ​​nome e le informazioni di contatto di quest’ultimo all’autorità competente. Così come il GDPR, l’art. 72 PIPL specifica che la nuova legge non trova applicazione ai trattamenti dei dati personali effettuati da persone fisiche per ragioni personali o domestiche.

Allo stesso modo, la PIPL segue la bipartizione tra titolare e responsabile, individuando le figure relative sullo schema tracciato dal Regolamento europeo: il titolare, quindi, è colui che decide finalità e mezzi del trattamento, il responsabile, invece, è colui che agisce, all’interno di un modello assimilabile ad un rapporto di mandato, seguendo le istruzioni del titolare.

Forti analogie si rinvengono anche nelle informazioni – assimilabili a quelle elencate dall’art. 13 GDPR – che devono essere fornite al soggetto interessato al momento della raccolta dei dati.

Simili sono i riferimenti ai dati relativi a credenze religiose e stato di salute, mentre, all’interno della categoria, al contrario di quanto avviene nel modello giuridico europeo, ricadono anche i dati di natura finanziaria e, in generale, sullo stato patrimoniale di un soggetto. Con una previsione rilevante, considerando le polemiche recenti che avevano interessato il governo cinese, sono ritenuti dati sensibili anche le informazioni di natura biometrica. Inoltre, anche i dati relativi ai minori di anni quattordici sono tutelati in forma rafforzata, come le informazioni sulla geolocalizzazione dei soggetti interessati.

Una sotto-categoria piuttosto ampia di dati sensibili è quella che concerne le informazioni che possono causare, in caso di divulgazione illecita, danno alla dignità delle persone, alla sicurezza nazionale o alla proprietà: una definizione forse eccessivamente vasta, che rispecchia un rapporto ancora sbilanciato tra individui e potere politico.

Infine, le diverse basi giuridiche che legittimano il trattamento dei dati rispecchiano, talvolta molto fedelmente, quelle enumerate dal GDPR. Innanzi tutto, il consenso che, in maniera identica a quanto accade in Europa, deve essere libero, specifico e revocabile, così come sancito dall’art. 14 PIPL. Tale consenso – e si tratta di un’ulteriore analogia con quanto disciplinato dal GDPR – non è necessario qualora i dati siano necessari per la conclusione o l’esecuzione di un contratto oppure per adempiere ad un obbligo previsto dalla normativa. Similitudini possono essere ritrovate nella fattispecie che legittima il trattamento dei dati in caso di emergenza sanitaria pubblica o per proteggere la vita, la salute o la proprietà di una persona fisica, sempre nell’ipotesi di emergenza sanitaria.

Un caso a sé, che non è dato rinvenire nella legislazione comunitaria, è quello che interessa il trattamento per motivi di cronaca, per motivi di natura politica, o comunque per uno scopo di interesse pubblico. Infine, come clausola generale, è sancita la liceità nel trattamento dei dati laddove previsto espressamente dalla legislazione nazionale.

Di là dall’analisi delle singole disposizioni, è sicuramente importante che l’ordinamento cinese abbia optato per un rinforzamento delle garanzie offerte ai propri cittadini, imitando molte delle previsioni – anche in relazione, ad esempio, ai diritti riconosciuti ai soggetti interessati – già previste dal GDPR. In questo modo, si apre la strada anche ad una possibile decisione di adeguatezza da parte della Commissione nei confronti della Cina, che potrebbe semplificare sensibilmente il traffico transfrontaliero dei dati.

Una traduzione in inglese del testo approvato è disponibile qui.

Giovanni Maria Riccio

L'articolo La nuova legge cinese sul trattamento dei dati: una porta spalancata verso l’Europa? proviene da E-Lex.

Dopo una lunga “gestazione”, è stata finalmente approvata la “Personal Information Protection Law” (PIPL), la nuova legge cinese in materia di protezione dei dati personali, in vigore dal 1° novembre 2021.

L’ordinamento cinese, con una scelta fondamentale in un’economia globalizzata, ha deciso di seguire le tracce dell’Unione europea, andando a ricalcare molte delle disposizioni presenti nel GDPR.

Innanzi tutto, l’ambito di applicazione della nuova normativa, che abbraccia tre casistiche principali: a) le attività di trattamento svolte nel territorio cinese; b) la fornitura di prodotti o servizi ai cittadini cinesi oppure l’analisi dei loro comportamenti; c) tutti gli altri casi previsti dalle leggi speciali nazionali.

Nel caso in cui un soggetto stabilito fuori dal territorio cinese tratti dati personali che rientrano nel perimetro del PIPL, allora, ai sensi dell’articolo 53, sarà tenuto ad avere uno stabilimento in Cina o a designare un rappresentante, segnalando il ​​nome e le informazioni di contatto di quest’ultimo all’autorità competente. Così come il GDPR, l’art. 72 PIPL specifica che la nuova legge non trova applicazione ai trattamenti dei dati personali effettuati da persone fisiche per ragioni personali o domestiche.

Allo stesso modo, la PIPL segue la bipartizione tra titolare e responsabile, individuando le figure relative sullo schema tracciato dal Regolamento europeo: il titolare, quindi, è colui che decide finalità e mezzi del trattamento, il responsabile, invece, è colui che agisce, all’interno di un modello assimilabile ad un rapporto di mandato, seguendo le istruzioni del titolare.

Forti analogie si rinvengono anche nelle informazioni – assimilabili a quelle elencate dall’art. 13 GDPR – che devono essere fornite al soggetto interessato al momento della raccolta dei dati.

Simili sono i riferimenti ai dati relativi a credenze religiose e stato di salute, mentre, all’interno della categoria, al contrario di quanto avviene nel modello giuridico europeo, ricadono anche i dati di natura finanziaria e, in generale, sullo stato patrimoniale di un soggetto. Con una previsione rilevante, considerando le polemiche recenti che avevano interessato il governo cinese, sono ritenuti dati sensibili anche le informazioni di natura biometrica. Inoltre, anche i dati relativi ai minori di anni quattordici sono tutelati in forma rafforzata, come le informazioni sulla geolocalizzazione dei soggetti interessati.

Una sotto-categoria piuttosto ampia di dati sensibili è quella che concerne le informazioni che possono causare, in caso di divulgazione illecita, danno alla dignità delle persone, alla sicurezza nazionale o alla proprietà: una definizione forse eccessivamente vasta, che rispecchia un rapporto ancora sbilanciato tra individui e potere politico.

Infine, le diverse basi giuridiche che legittimano il trattamento dei dati rispecchiano, talvolta molto fedelmente, quelle enumerate dal GDPR. Innanzi tutto, il consenso che, in maniera identica a quanto accade in Europa, deve essere libero, specifico e revocabile, così come sancito dall’art. 14 PIPL. Tale consenso – e si tratta di un’ulteriore analogia con quanto disciplinato dal GDPR – non è necessario qualora i dati siano necessari per la conclusione o l’esecuzione di un contratto oppure per adempiere ad un obbligo previsto dalla normativa. Similitudini possono essere ritrovate nella fattispecie che legittima il trattamento dei dati in caso di emergenza sanitaria pubblica o per proteggere la vita, la salute o la proprietà di una persona fisica, sempre nell’ipotesi di emergenza sanitaria.

Un caso a sé, che non è dato rinvenire nella legislazione comunitaria, è quello che interessa il trattamento per motivi di cronaca, per motivi di natura politica, o comunque per uno scopo di interesse pubblico. Infine, come clausola generale, è sancita la liceità nel trattamento dei dati laddove previsto espressamente dalla legislazione nazionale.

Di là dall’analisi delle singole disposizioni, è sicuramente importante che l’ordinamento cinese abbia optato per un rinforzamento delle garanzie offerte ai propri cittadini, imitando molte delle previsioni – anche in relazione, ad esempio, ai diritti riconosciuti ai soggetti interessati – già previste dal GDPR. In questo modo, si apre la strada anche ad una possibile decisione di adeguatezza da parte della Commissione nei confronti della Cina, che potrebbe semplificare sensibilmente il traffico transfrontaliero dei dati.

Una traduzione in inglese del testo approvato è disponibile qui.

Giovanni Maria Riccio

L'articolo La nuova legge cinese sul trattamento dei dati: una porta spalancata verso l’Europa? proviene da E-Lex.

Lo scorso 17 febbraio è stato pubblicato sulla Gazzetta Ufficiale il Decreto del 13 gennaio 2022 emesso dal Ministero dell’Economia e delle Finanze (“MEF”), che stabilisce le modalità con cui i prestatori di servizi relativi all’utilizzo di valuta virtuale1 e i prestatori di servizi di portafoglio digitale2 saranno tenuti a comunicare la propria attività all’Organismo Agenti e Mediatori (“OAM”).

La comunicazione all’OAM

Il Decreto subordina ora l’esercizio dei servizi relativi all’utilizzo di valuta virtuale3 e dei servizi di portafoglio digitale ai soggetti che siano iscritti nella sezione speciale del registro pubblico informatizzato, tenuto dall’OAM ai sensi dell’art. 17-bis, comma 1, del D.lgs. 141/2010 s.m.i.

A sua volta, detta iscrizione è subordinata al possesso dei requisiti di cui all’art. 17-bis, comma 2, del D.lgs. 141/2010 s.m.i.4, che regola l’attività di cambiavalute.

Come si è detto, la comunicazione costituirà condizione essenziale per l’esercizio legale dell’attività da parte dei suddetti prestatori.

Tale obbligo verrà assolto tramite comunicazione all’OAM, “ai fini dell’efficiente popolamento della sezione speciale del registro” (art. 3, comma 2 del Decreto).

Si noti che l’obbligo si applicherà anche ai prestatori che già svolgono attività in Italia (anche online) e che sono in possesso dei requisiti di cui al già menzionato art. 17-bis. Tali soggetti dovranno effettuare la comunicazione all’OAM entro sessanta giorni dalla data di avvio della sezione speciale del registro (attualmente fissata per il 2 giugno 2022).

Ai sensi dell’art. 3 del Decreto, i prestatori comunicheranno la loro attività utilizzando l’apposito servizio presente nell’area privata dedicata del portale dell’OAM, il cui accesso è consentito previa registrazione al portale.

La comunicazione dovrà contenere tutte le informazioni dettagliate nel comma 4 del summenzionato art. 35 e verrà poi vagliata dall’OAM che, verificata la regolarità e completezza della stessa, entro quindici giorni disporrà ovvero negherà l’iscrizione nella sezione speciale del registro.

Le informazioni da trasmettere periodicamente all’OAM

Una volta effettuata l’iscrizione, i prestatori saranno altresì tenuti a trasmettere all’OAM – sempre per via telematica – i dati relativi alle operazioni effettuate sul territorio italiano.

In particolare, l’art. 5 del Decreto prevede che i prestatori debbano comunicare:

• i dati identificativi del cliente, come riportati nell’Allegato 1 del Decreto; nonché
• i dati sintetici relativi all’operatività complessiva di ciascun prestatore di servizi relativi, sempre ai sensi dell’Allegato 1.

La trasmissione dovrà avvenire con cadenza trimestrale (entro il quindicesimo giorno del mese successivo al trimestre), secondo le modalità tecniche stabilite dall’OAM.

Tenuta del registro e trattamento dei dati

L’art. 4 del Decreto stabilisce che l’OAM curerà, in qualità di titolare del trattamento, la chiarezza, la completezza e l’accessibilità al pubblico dei dati riportati nella sezione speciale del registro.

Entro sessanta giorni dall’entrata in vigore del Decreto, l’OAM dovrà adottare – sentito il Garante privacy – gli atti attuativi idonei a definire misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento UE 2016/679, nonché a definire i tempi massimi di conservazione dei dati.

A tale proposito, si noti che l’art. 5 del Decreto, al comma 3, prevede che l’OAM conservi i dati trasmessi per un periodo di dieci anni, assicurando la predisposizione di idonei sistemi di salvataggio, di sicurezza e di recupero dei dati.

Ariella Fonsi

1 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce a terzi, a titolo professionale, anche on-line, servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o in rappresentazioni digitali di valore, ivi comprese quelle convertibili in altre valute virtuali nonche’ i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute” (art. 1, comma 1, lett. b) del Decreto).

2 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce, a terzi, a titolo professionale, anche on-line, servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali” (art. 1, comma 1, lett. c) del Decreto).

3 “La rappresentazione digitale di valore, non emessa né garantita da una banca centrale o da un’autorità pubblica, non necessariamente collegata a una valuta avente corso legale, utilizzata come mezzo di scambio per l’acquisto di beni e servizi o per finalità di investimento e trasferita, archiviata e negoziata elettronicamente” (art. 1, comma 1, lett. f) del Decreto).

4 Segnatamente, “L’iscrizione nel registro di cui al comma 1, e’ subordinata al ricorrere dei seguenti requisiti:

a) per le persone fisiche: cittadinanza italiana o di uno Stato dell’Unione europea ovvero di Stato diverso secondo le disposizioni dell’articolo 2 del testo unico delle disposizioni concernenti la disciplina dell’immigrazione e norme sulla condizione dello straniero, di cui al decreto legislativo 25 luglio 1998, n. 286, e domicilio nel territorio della Repubblica;

b) per i soggetti diversi dalle persone fisiche: sede legale e amministrativa o, per i soggetti comunitari, stabile organizzazione nel territorio della Repubblica” (art. 17-bis, D.lgs 141/2010, comma 2).

5 Segnatamente, “a) per le persone fisiche: 1) il cognome e il nome; 2) il luogo e la data di nascita; 3) la cittadinanza; 4) il codice fiscale, ove assegnato; 5) gli estremi del documento di identificazione; 6) la residenza anagrafica nonche’ il domicilio, se diverso dalla residenza; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto;

b) per i soggetti diversi dalle persone fisiche: 1) la denominazione sociale; 2) la natura giuridica del soggetto; 3) il codice fiscale/partita IVA, ove assegnato; 4) la sede legale e, se diversa dalla sede legale, la sede amministrativa; 5) per i soggetti con sede legale in altro Stato membro dell’Unione europea, la sede della stabile organizzazione nel territorio della Repubblica; 6) il cognome, il nome, il luogo e la data di nascita, il codice fiscale, ove assegnato, e gli estremi del documento di identificazione del legale rappresentante; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto”.

L'articolo Criptovalute: il MEF istituisce presso l’OAM una sezione speciale per i prestatori di valuta virtuale e servizi di portafoglio digitale proviene da E-Lex.

Lo scorso 17 febbraio è stato pubblicato sulla Gazzetta Ufficiale il Decreto del 13 gennaio 2022 emesso dal Ministero dell’Economia e delle Finanze (“MEF”), che stabilisce le modalità con cui i prestatori di servizi relativi all’utilizzo di valuta virtuale1 e i prestatori di servizi di portafoglio digitale2 saranno tenuti a comunicare la propria attività all’Organismo Agenti e Mediatori (“OAM”).

La comunicazione all’OAM

Il Decreto subordina ora l’esercizio dei servizi relativi all’utilizzo di valuta virtuale3 e dei servizi di portafoglio digitale ai soggetti che siano iscritti nella sezione speciale del registro pubblico informatizzato, tenuto dall’OAM ai sensi dell’art. 17-bis, comma 1, del D.lgs. 141/2010 s.m.i.

A sua volta, detta iscrizione è subordinata al possesso dei requisiti di cui all’art. 17-bis, comma 2, del D.lgs. 141/2010 s.m.i.4, che regola l’attività di cambiavalute.

Come si è detto, la comunicazione costituirà condizione essenziale per l’esercizio legale dell’attività da parte dei suddetti prestatori.

Tale obbligo verrà assolto tramite comunicazione all’OAM, “ai fini dell’efficiente popolamento della sezione speciale del registro” (art. 3, comma 2 del Decreto).

Si noti che l’obbligo si applicherà anche ai prestatori che già svolgono attività in Italia (anche online) e che sono in possesso dei requisiti di cui al già menzionato art. 17-bis. Tali soggetti dovranno effettuare la comunicazione all’OAM entro sessanta giorni dalla data di avvio della sezione speciale del registro (attualmente fissata per il 2 giugno 2022).

Ai sensi dell’art. 3 del Decreto, i prestatori comunicheranno la loro attività utilizzando l’apposito servizio presente nell’area privata dedicata del portale dell’OAM, il cui accesso è consentito previa registrazione al portale.

La comunicazione dovrà contenere tutte le informazioni dettagliate nel comma 4 del summenzionato art. 35 e verrà poi vagliata dall’OAM che, verificata la regolarità e completezza della stessa, entro quindici giorni disporrà ovvero negherà l’iscrizione nella sezione speciale del registro.

Le informazioni da trasmettere periodicamente all’OAM

Una volta effettuata l’iscrizione, i prestatori saranno altresì tenuti a trasmettere all’OAM – sempre per via telematica – i dati relativi alle operazioni effettuate sul territorio italiano.

In particolare, l’art. 5 del Decreto prevede che i prestatori debbano comunicare:

• i dati identificativi del cliente, come riportati nell’Allegato 1 del Decreto; nonché
• i dati sintetici relativi all’operatività complessiva di ciascun prestatore di servizi relativi, sempre ai sensi dell’Allegato 1.

La trasmissione dovrà avvenire con cadenza trimestrale (entro il quindicesimo giorno del mese successivo al trimestre), secondo le modalità tecniche stabilite dall’OAM.

Tenuta del registro e trattamento dei dati

L’art. 4 del Decreto stabilisce che l’OAM curerà, in qualità di titolare del trattamento, la chiarezza, la completezza e l’accessibilità al pubblico dei dati riportati nella sezione speciale del registro.

Entro sessanta giorni dall’entrata in vigore del Decreto, l’OAM dovrà adottare – sentito il Garante privacy – gli atti attuativi idonei a definire misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento UE 2016/679, nonché a definire i tempi massimi di conservazione dei dati.

A tale proposito, si noti che l’art. 5 del Decreto, al comma 3, prevede che l’OAM conservi i dati trasmessi per un periodo di dieci anni, assicurando la predisposizione di idonei sistemi di salvataggio, di sicurezza e di recupero dei dati.

Ariella Fonsi

1 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce a terzi, a titolo professionale, anche on-line, servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o in rappresentazioni digitali di valore, ivi comprese quelle convertibili in altre valute virtuali nonche’ i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute” (art. 1, comma 1, lett. b) del Decreto).

2 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce, a terzi, a titolo professionale, anche on-line, servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali” (art. 1, comma 1, lett. c) del Decreto).

3 “La rappresentazione digitale di valore, non emessa né garantita da una banca centrale o da un’autorità pubblica, non necessariamente collegata a una valuta avente corso legale, utilizzata come mezzo di scambio per l’acquisto di beni e servizi o per finalità di investimento e trasferita, archiviata e negoziata elettronicamente” (art. 1, comma 1, lett. f) del Decreto).

4 Segnatamente, “L’iscrizione nel registro di cui al comma 1, e’ subordinata al ricorrere dei seguenti requisiti:

a) per le persone fisiche: cittadinanza italiana o di uno Stato dell’Unione europea ovvero di Stato diverso secondo le disposizioni dell’articolo 2 del testo unico delle disposizioni concernenti la disciplina dell’immigrazione e norme sulla condizione dello straniero, di cui al decreto legislativo 25 luglio 1998, n. 286, e domicilio nel territorio della Repubblica;

b) per i soggetti diversi dalle persone fisiche: sede legale e amministrativa o, per i soggetti comunitari, stabile organizzazione nel territorio della Repubblica” (art. 17-bis, D.lgs 141/2010, comma 2).

5 Segnatamente, “a) per le persone fisiche: 1) il cognome e il nome; 2) il luogo e la data di nascita; 3) la cittadinanza; 4) il codice fiscale, ove assegnato; 5) gli estremi del documento di identificazione; 6) la residenza anagrafica nonche’ il domicilio, se diverso dalla residenza; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto;

b) per i soggetti diversi dalle persone fisiche: 1) la denominazione sociale; 2) la natura giuridica del soggetto; 3) il codice fiscale/partita IVA, ove assegnato; 4) la sede legale e, se diversa dalla sede legale, la sede amministrativa; 5) per i soggetti con sede legale in altro Stato membro dell’Unione europea, la sede della stabile organizzazione nel territorio della Repubblica; 6) il cognome, il nome, il luogo e la data di nascita, il codice fiscale, ove assegnato, e gli estremi del documento di identificazione del legale rappresentante; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto”.

L'articolo Criptovalute: il MEF istituisce presso l’OAM una sezione speciale per i prestatori di valuta virtuale e servizi di portafoglio digitale proviene da E-Lex.

Lo scorso 17 febbraio è stato pubblicato sulla Gazzetta Ufficiale il Decreto del 13 gennaio 2022 emesso dal Ministero dell’Economia e delle Finanze (“MEF”), che stabilisce le modalità con cui i prestatori di servizi relativi all’utilizzo di valuta virtuale1 e i prestatori di servizi di portafoglio digitale2 saranno tenuti a comunicare la propria attività all’Organismo Agenti e Mediatori (“OAM”).

La comunicazione all’OAM

Il Decreto subordina ora l’esercizio dei servizi relativi all’utilizzo di valuta virtuale3 e dei servizi di portafoglio digitale ai soggetti che siano iscritti nella sezione speciale del registro pubblico informatizzato, tenuto dall’OAM ai sensi dell’art. 17-bis, comma 1, del D.lgs. 141/2010 s.m.i.

A sua volta, detta iscrizione è subordinata al possesso dei requisiti di cui all’art. 17-bis, comma 2, del D.lgs. 141/2010 s.m.i.4, che regola l’attività di cambiavalute.

Come si è detto, la comunicazione costituirà condizione essenziale per l’esercizio legale dell’attività da parte dei suddetti prestatori.

Tale obbligo verrà assolto tramite comunicazione all’OAM, “ai fini dell’efficiente popolamento della sezione speciale del registro” (art. 3, comma 2 del Decreto).

Si noti che l’obbligo si applicherà anche ai prestatori che già svolgono attività in Italia (anche online) e che sono in possesso dei requisiti di cui al già menzionato art. 17-bis. Tali soggetti dovranno effettuare la comunicazione all’OAM entro sessanta giorni dalla data di avvio della sezione speciale del registro (attualmente fissata per il 2 giugno 2022).

Ai sensi dell’art. 3 del Decreto, i prestatori comunicheranno la loro attività utilizzando l’apposito servizio presente nell’area privata dedicata del portale dell’OAM, il cui accesso è consentito previa registrazione al portale.

La comunicazione dovrà contenere tutte le informazioni dettagliate nel comma 4 del summenzionato art. 35 e verrà poi vagliata dall’OAM che, verificata la regolarità e completezza della stessa, entro quindici giorni disporrà ovvero negherà l’iscrizione nella sezione speciale del registro.

Le informazioni da trasmettere periodicamente all’OAM

Una volta effettuata l’iscrizione, i prestatori saranno altresì tenuti a trasmettere all’OAM – sempre per via telematica – i dati relativi alle operazioni effettuate sul territorio italiano.

In particolare, l’art. 5 del Decreto prevede che i prestatori debbano comunicare:

• i dati identificativi del cliente, come riportati nell’Allegato 1 del Decreto; nonché
• i dati sintetici relativi all’operatività complessiva di ciascun prestatore di servizi relativi, sempre ai sensi dell’Allegato 1.

La trasmissione dovrà avvenire con cadenza trimestrale (entro il quindicesimo giorno del mese successivo al trimestre), secondo le modalità tecniche stabilite dall’OAM.

Tenuta del registro e trattamento dei dati

L’art. 4 del Decreto stabilisce che l’OAM curerà, in qualità di titolare del trattamento, la chiarezza, la completezza e l’accessibilità al pubblico dei dati riportati nella sezione speciale del registro.

Entro sessanta giorni dall’entrata in vigore del Decreto, l’OAM dovrà adottare – sentito il Garante privacy – gli atti attuativi idonei a definire misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento UE 2016/679, nonché a definire i tempi massimi di conservazione dei dati.

A tale proposito, si noti che l’art. 5 del Decreto, al comma 3, prevede che l’OAM conservi i dati trasmessi per un periodo di dieci anni, assicurando la predisposizione di idonei sistemi di salvataggio, di sicurezza e di recupero dei dati.

Ariella Fonsi

1 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce a terzi, a titolo professionale, anche on-line, servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o in rappresentazioni digitali di valore, ivi comprese quelle convertibili in altre valute virtuali nonche’ i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute” (art. 1, comma 1, lett. b) del Decreto).

2 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce, a terzi, a titolo professionale, anche on-line, servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali” (art. 1, comma 1, lett. c) del Decreto).

3 “La rappresentazione digitale di valore, non emessa né garantita da una banca centrale o da un’autorità pubblica, non necessariamente collegata a una valuta avente corso legale, utilizzata come mezzo di scambio per l’acquisto di beni e servizi o per finalità di investimento e trasferita, archiviata e negoziata elettronicamente” (art. 1, comma 1, lett. f) del Decreto).

4 Segnatamente, “L’iscrizione nel registro di cui al comma 1, e’ subordinata al ricorrere dei seguenti requisiti:

a) per le persone fisiche: cittadinanza italiana o di uno Stato dell’Unione europea ovvero di Stato diverso secondo le disposizioni dell’articolo 2 del testo unico delle disposizioni concernenti la disciplina dell’immigrazione e norme sulla condizione dello straniero, di cui al decreto legislativo 25 luglio 1998, n. 286, e domicilio nel territorio della Repubblica;

b) per i soggetti diversi dalle persone fisiche: sede legale e amministrativa o, per i soggetti comunitari, stabile organizzazione nel territorio della Repubblica” (art. 17-bis, D.lgs 141/2010, comma 2).

5 Segnatamente, “a) per le persone fisiche: 1) il cognome e il nome; 2) il luogo e la data di nascita; 3) la cittadinanza; 4) il codice fiscale, ove assegnato; 5) gli estremi del documento di identificazione; 6) la residenza anagrafica nonche’ il domicilio, se diverso dalla residenza; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto;

b) per i soggetti diversi dalle persone fisiche: 1) la denominazione sociale; 2) la natura giuridica del soggetto; 3) il codice fiscale/partita IVA, ove assegnato; 4) la sede legale e, se diversa dalla sede legale, la sede amministrativa; 5) per i soggetti con sede legale in altro Stato membro dell’Unione europea, la sede della stabile organizzazione nel territorio della Repubblica; 6) il cognome, il nome, il luogo e la data di nascita, il codice fiscale, ove assegnato, e gli estremi del documento di identificazione del legale rappresentante; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto”.

L'articolo Criptovalute: il MEF istituisce presso l’OAM una sezione speciale per i prestatori di valuta virtuale e servizi di portafoglio digitale proviene da E-Lex.

Intervista Arturo Di Corinto a Rainews24

ospite di Rainews24 per parlare dell’allarme lanciato dall’ACN di cui avevo scritto subito per La Repubblica

Nell’intervista abbiamo parlato della guerra cibernetica che complica il conflitto militare Russo-ucraino. Ecco perchè:

a) Tutti i giorni ci sono attacchi informatici verso l’Italia, ma stavolta volume, contesto e target sono particolari ed è bene parlarne.
b) è importante infatti secondo me sollecitare una maggiore riflessione su quello che sta accadendo a ogni livello sociale, dal reparto contabilità delle aziende, al front office degli ospedali;
c) alzare il livello di allerta è poi il motivo per cui Agenzia per la Cybersicurezza Nazionale ha diramato l’allarme che è arrivato ai media potenziandone il reach: lo scopo era la sensibilizzazione. E io ritengo che i media servano esattamente a questo, a creare #awareness e conoscenza;
d) l’allarme era TLP: amber e poi diventato white, quindi era giusto scriverne e parlarne.

Attacco informatico: comunicazione agli interessati e riscontro documentato al Garante Privacy

Il Garante per la protezione dei dati personali, con provvedimento n. 21 del 27 gennaio 2022, si è pronunciato su una comunicazione relativa ad un incidente di sicurezza. La violazione dei dati personali è stata provocata da un attacco informatico ransomware, che ha comportato la crittografia dei dati contenuti nei server e nei pc del titolare del trattamento (con conseguente impossibilità di accedervi ed elaborarli) e la probabile esfiltrazione degli stessi.

Il titolare del trattamento, tuttavia, non aveva comunicato l’incidente agli interessati coinvolti, ai sensi dell’art. 34 del GDPR, sebbene la violazione dei dati personali potesse presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Pertanto, l’Autorità ha ordinato al titolare del trattamento di comunicare la violazione dei dati personali agli interessati e di fornire un riscontro adeguatamente documentato sulle misure adottate per mitigare i possibili effetti pregiudizievoli della violazione per gli interessati.

Leggi il provvedimento

Garante Privacy: tutele per la fruizione dei servizi SPID da parte dei minori

Il Garante per la protezione dei dati personali, nel parere reso sullo schema delle “Linee guida operative per la fruizione dei servizi SPID da parte dei minori”, proposto da AgID (Agenzia per l’Italia Digitale), ha individuato le garanzie per l’utilizzo del Sistema pubblico di identità digitale (SPID) da parte dei minori.

Infatti, i trattamenti concernenti il rilascio dello SPID e il suo utilizzo per l’accesso ai servizi online espongono i minori a rischi che richiedono una specifica protezione, con l’adozione di adeguate misure per mitigarli, distinguendo tra gli ultraquattordicenni e gli infraquattordicenni in ragione del diverso grado di maturità e consapevolezza.

I ragazzi sopra i quattordici anni potranno dotarsi di un’identità SPID per accedere ai servizi offerti dalla Pubblica Amministrazione a loro rivolti. I più piccoli invece potranno utilizzarlo solo per i servizi online forniti dalle scuole. Saranno i genitori a richiedere lo SPID per loro.

Leggi il provvedimento

Tribunale di Roma: legittima la richiesta di accesso della moglie per il recupero dei dati personali dagli account del marito deceduto.

Il Tribunale di Roma, in un’ordinanza concernente la richiesta di accesso della moglie per il recupero dei dati personali dagli account del marito deceduto, ha stabilito che le “ragioni familiari meritevoli di protezione” ex art. 2-terdecies d.lg n. 196/2003 prevalgono sulla clausola di intrasmissibilità dei diritti sui contenuti stipulata dall’internet service provider con l’utente, poi deceduto, che ha aderito alle condizioni generali.

Leggi l’ordinanza

DPA Belga: il TCF di IAB Europe viola il GDPR

L’Autorità per la protezione dei dati belga, con la decisione n. 21 del 2 febbraio 2022, ha stabilito che il Transparency and Consent Framework (TCF), sviluppato da IAB Europe, non è conforme a d alcune disposizioni del GDPR. Il TCF è un meccanismo diffuso che facilita la gestione delle preferenze dell’utente per la pubblicità personalizzata online, e che gioca un ruolo chiave nel cosiddetto Real Time Bidding (RTB). L’Autorità ha multato IAB Europe per 250.000 euro e ha concesso all’associazione due mesi per presentare un piano d’azione per allineare le sue attività.

Il Garante ha stabilito, in particolare, che il TCF viola le disposizioni di cui agli artt. 5, comma 1 (lett. a ed f), 6, 12, 13, 14, 25, 32, 37-39, del Regolamento (UE) 2016/679.

Si tratta di una decisione dalla portata dirompente, in special modo se si considera che migliaia di operatori nel campo della pubblicità digitale basano la propria attività sugli standard fissati dal TCF.

Leggi il provvedimento

CSIRT Italia: allerta cyber per la situazione in Ucraina

Il 14 febbraio 2022 lo CSIRT (Computer Security Incident Response Team) Italia, istituito presso l’ACN (Agenzia per la Cybersicurezza Nazionale), ha diramato un bollettino in cui prescrive regole e metodi per l’innalzamento delle misure di prevenzione e monitoraggio delle infrastrutture ICT nazionali da possibili rischi cyber derivanti dalla situazione ucraina. In particolare, sono soggetti a rischio gli enti, le organizzazioni e le aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche.

Pertanto, in aggiunta all’adozione delle migliori pratiche in materia di cybersicurezza ed al rispetto delle misure previste dalla legislazione vigente, lo CSIRT raccomanda di elevare il livello di attenzione adottando in via prioritaria, adottando alcune misure organizzative e tecniche.

Leggi il bollettino

L'articolo What’s new in Italy on Data Protection<BR> n.2 – Marzo 2022 proviene da E-Lex.

Lo scorso 11 febbraio, l’Agencia Española de Protección de Datos (“AEPD”) pubblicava il provvedimento sanzionatorio di 2 milioni di euro nei confronti di Amazon Spagna per la richiesta del certificato del casellario giudiziale nei confronti dei dipendenti1; contemporaneamente, in Italia, il 15 febbraio, il Consiglio di Stato emanava parere sullo schema di regolamento recante l’individuazione dei trattamenti dei dati personali relativi a condanne penali e reati e le relative appropriate garanzie ai sensi dell’art. 2-octies, comma 2, del Codice Privacy.

Si osserva, quindi, che il trattamento dei dati giudiziari sta assumendo il ruolo di protagonista dopo anni di silenzio sul tema, presentando nuove sfide, nonché criticità che meritano un approfondimento.

Brevi cenni sulla normativa europea sul trattamento dei dati giudiziari

Con l’entrata in vigore del Regolamento UE 679/2016, anche detto “GDPR”, il trattamento dei dati giudiziari è stato disciplinato dall’art. 10 e dal Considerando n. 192.

In particolare, l’art. 10 GDPR prevede che il trattamento relativo a condanne penali e ai reati o connesse misure di sicurezza deve avvenire in presenza di una delle basi giuridiche di cui all’art. 6 del GDPR e di una delle seguenti condizioni: o sotto il controllo di un’autorità pubblica oppure se il diritto dell’Unione europea o quello di uno degli Stati membri ne fornisce un’espressa autorizzazione.

Inoltre, il Considerando n. 19 specifica che il trattamento dei dati giudiziari di cui all’art. 10 fa riferimento unicamente a quello svolto da parte dei soggetti privati. Difatti, il trattamento dei dati giudiziari da parte di soggetti pubblici rientra nella disciplina di cui alla legge al D. Lgs. n. 51 del 2018, attuativo della Direttiva UE 680/2016, in materia di trattamenti dei dati personali da parte delle autorità competenti di prevenzione, indagine, accertamento e perseguimento di reati o esecuzioni di sanzioni penali3.

Risulta che, insieme ai dati appartenenti alle categorie particolari di cui all’art. 9 del GDPR, i dati identificati in dati giudiziari sono oggetto di una tutela più stringente ed implicante degli adempimenti più gravosi in capo al titolare e al responsabile del trattamento. La ratio di una maggiore tutela deve essere individuata nel possibile rischio, in termini di probabilità e gravità, che dal trattamento di questa tipologia di dati possa derivare un danno fisico, materiale o immateriale, per i diritti e le libertà delle persone fisiche.

Cosa è successo in Spagna?

L’Unione generale dei lavoratori (Unión General de Trabajadores, ‘UGT’)presentava reclamo di fronte all’AEPD contro Amazon Spagna (“Amazon” o “Società”), con riferimento al fatto che, nel corso del processo di assunzione dei dipendenti, Amazon richiedeva ai potenziali candidati di presentare il certificato del casellario giudiziale. La Società, infatti, chiedeva, sulla base del legittimo interesse, di poter verificare la presenza di precedenti dei dipendenti con mansione di “autisti di veicoli”, al fine di proteggere l’incolumità dei clienti con i quali sarebbero entrati in contatto.

In particolare, il trattamento dei dati giudiziari dei candidati dipendenti, per il tramite del certificato del casellario giudiziale, era compiuto sulla base del consenso del futuro dipendente. Nel corso del processo di assunzione, ai candidati era richiesto di creare un account su di una piattaforma adibita di gestione e di titolarità Amazon e di caricare il certificato, previo consenso del candidato dipendente. Inoltre, il consenso era richiesto anche per il trasferimento dei dati – inclusi quelli giudiziari – anche nei confronti di soggetti terzi, residenti al di fuori dello Spazio economico europeo (“SEE”), sulla base di standard contractual clauses.

Amazon si difendeva sostenendo che ai candidati era richiesto solo un certificato “negativo”, ossia una dichiarazione di assenza di precedenti, non costituendo – a sua detta – un trattamento di dati giudiziari.

L’Autorità spagnola accoglieva il reclamo presentato dall’UGT, sulla scorta delle motivazioni che seguono.

In primo luogo, secondo quanto previsto dall’Art. 10 del Regolamento e dall’art. 10 della Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (“Ley Orgánica”)4, l’AEPD affermava che anche il certificato negativo attestante l’assenza di precedenti a proprio carico contiene dati personali. Pertanto, per aversi un lecito trattamento degli stessi, le condizioni previste nei già menzionati articoli avrebbero dovuto essere rispettate. Tuttavia, l’AEPD osservava che in Spagna non vi è né nel diritto dell’UE né nel diritto spagnolo una norma che autorizzi il trattamento e che, di conseguenza, gli argomenti di Amazon, basati sulla finalità del legittimo interesse e sulla necessità del trattamento, non possono essere accolti.

In particolare, l’AEPD si concentrava sul legittimo interesse, segnalando che – anche qualora per assurdo volesse ammettersi la liceità di tale base giuridica – Amazon non aveva in ogni caso provveduto a dare prova del bilanciamento effettuato tra il legittimo interesse e gli altri diritti ed interessi in gioco, tenendo in considerazione anche i principi di cui all’art. 5 del GDPR, soprattutto quello di minimizzazione. Con riguardo invece al consenso, l’AEPD rilevava che per aversi la validità e la liceità, è necessario che sia libero, valido ed inequivocabile. In questo caso, invece, i candidati non avrebbero avuto la possibilità di rifiutarsi nel rendere il consenso al rilascio del certificato del casellario giudiziale, in quanto imposto nella fase pre-contrattuale. Vi è di più. A parere dell’autorità spagnola, Amazon non avrebbe nemmeno reso nemmeno un’adeguata informativa nei confronti degli interessati, nel rispetto degli artt. 13 e 14 del GDPR.

Con riferimento al consenso richiesto per il trasferimento dei dati nei confronti di terzi localizzati al di fuori del SEE, l’autorità spagnola ha rilevato che, anche con riferimento a questo caso, il consenso non possa ritenersi valido ai sensi dell’art. 49 del GDPR, in combinato disposto con l’art. 7 del GDPR, in quanto il consenso era richiesto all’interno del contratto senza la possibilità di rifiutare e senza alcuna preliminare informazione riguardo ai potenziali rischi derivanti dal trasferimento dei dati5.

Pertanto, a fronte di tali motivi, l’Autorità ha irrogato una sanzione di euro 2,000,000 per aver violato degli artt. 6, 10 del GDPR e dell’art. 10 della Ley Orgánica, a fronte della richiesta – in assenza di una valida e lecita base giuridica – dei certificati del casellario giudiziali nel corso del processo di assunzione dei dipendenti, illecitamente6.

Che cosa succede in Italia?

In Italia, in materia di trattamento dei dati giudiziari, il legislatore è intervenuto con il D. Lgs. 101 del 2018, modificativo del codice privacy di cui al D.lgs. 196/2003, introducendo una norma ad hoc, ossia l’art. 2-octies.

In particolare, il comma 1 dell’art. 2-octies riproduce l’art. 10 del GDPR, prevedendo che il trattamento dei dati giudiziari può avvenire in subordine alle condizioni predette, ossia: i) sulla base di una delle condizioni di liceità ai sensi dell’art. 6 del GDPR; ii) sotto il controllo dell’autorità pubblica o se autorizzato da legge del diritto dell’UE o nazionale, in presenza di garanzie adeguate. La differenza con l’art. 10 GDPR sta nel fatto che il trattamento dei dati giudiziari può avvenire anche nel caso in cui sia autorizzato da un regolamento, nei casi previsti dalla legge.

L’art. 2-octies, al comma 2, inoltre, prevede che, in mancanza di disposizioni di legge o di un regolamento, il trattamento dei dati giudiziari e le relative garanzie sono individuati dal decreto del Ministero della giustizia da adottarsi, ai sensi dell’articolo 17, co. 3, della legge 23 agosto 1988, n. 400, sentita l’Autorità Garante per la protezione dei dati personali (il “Garante”)7. A tal riguardo, il Ministero della giustizia ha presentato uno schema di regolamento recante l’individuazione dei trattamenti di dati personali relativi a condanne penali e reati e delle relative garanzie appropriate ai sensi dell’articolo 2-octies, comma 2. Difatti, lo schema di regolamento dovrebbe consistere nel contenuto del decreto di cui all’art. 2-octies, co. 2.

Nello schema di regolamento sono specificati gli ambiti entro i quali il trattamento dei dati giudiziari – in assenza di un’autorizzazione da parte della legge o di un regolamento – è da considerare lecito. Tali ambiti riproducono quelli dell’art. 2-octies, co. 3, tra i quali, a titolo esemplificativo: i) trattamento di dati giudiziari in ambito lavorativo; ii) trattamento di dati giudiziari al fine di verificare o accertare i requisiti di onorabilità, soggettivi e presupposti interdittivi; iii) trattamento di dati giudiziari al fine di accertare, esercitare o difendere un diritto in sede giudiziaria etc.

Secondo quanto previsto dalla procedura di approvazione del decreto, il Garante è stato interpellato con riguardo allo schema di regolamento e ha reso parere favorevole circa il contenuto, suggerendo alcune integrazioni. Allo stesso modo, il Consiglio di Stato ha reso parere che, seppur favorevole, ha rivelato forti criticità circa la formulazione di alcune disposizioni.

Il Ministero della giustizia, quindi, in seguito all’interpello delle autorità, è tenuto a procedere alla revisione dello schema di regolamento che, alla luce delle numerose indicazioni, cambierà indubbiamente nel suo contenuto.

In particolare, a parere di chi scrive e in ragione altresì delle argomentazioni del Consiglio di Stato, sembrano esservi numerose incertezze sull’interpretazione delle disposizioni contenute nello schema di regolamento. Merita segnalare con particolar attenzione la difficoltà nell’individuazione della base giuridica legittimante il trattamento dei dati giudiziari. Difatti, le disposizioni contenute nello schema di regolamento dovrebbero fungere da base giuridica legittimante, nei casi in cui non vi è una legge e/o un regolamento.

Tuttavia, a parte l’assenza di una chiarezza del dettato letterale, ciò che creerebbe confusione è il costante rinvio nelle disposizioni dello schema di Regolamento al GDPR e alle condizioni di cui all’art. 10, nonché ad una legge o un regolamento autorizzativi che non esistono.

Parallelismo: quali tratti comuni?

Nonostante trattasi di due “casi” differenti, ciò che emerge chiaramente è un quadro controverso in Europa in relazione al trattamento dei dati giudiziari.

Da un lato, in Spagna, vi è il mancato adeguamento al quadro legislativo in vigore – che riflette quanto previsto dal GDPR e non ha subito integrazioni dalla legge nazionale – da parte di una grande multinazionale; dall’altro lato, in Italia, un sistema normativo sulla disciplina dei dati giudiziari in evoluzione che affronta numerose criticità, nel tentativo di rispondere a quanto richiesto dell’art. 2-octies, co. 2 sin dalla sua entrata in vigore nel 2018. Ed è da questo parallelismo che, nel complesso, sembrerebbe emergere una difficoltà nell’applicazione, nell’interpretazione e nell’evoluzione della normativa vigente in ambito di trattamento dei dati giudiziari, normativa che vorrebbe rispondere alle vecchie e nuove necessità presenti all’interno della società, ma che fatica a farlo.

Fabiola Iraci Gambazza

1 aepd.es/es/documento/ps-00267-…

2 garanteprivacy.it/web/guest/ho…

3 gazzettaufficiale.it/eli/id/20…

4 boe.es/boe/dias/2018/12/06/pdf…

5 In verità, il trasferimento come regolamentato dalle SCC concluse da Amazon con i terzi è da ritenersi lecito, secondo quanto previsto dall’art. 46 del GDPR.

6 L’AEPD ha ordinato ad Amazon anche la produzione della documentazione al fine di accertare che le procedure in atto da parte di Amazon siano compliant con il GDPR. Nello specifico, è necessario dare prova del fatto che Amazon non richiede il certificato del casellario giudiziale e che i dati precedentemente raccolti per il tramite del casellario sono stati effettivamente distrutti.

7 In assenza di un decreto, il Garante ha provveduto a chiarire che per il trattamento da parte di privati, di enti pubblici economici non si applicava la precedente Autorizzazione Generale del Garante n. 7/2016, ma le Autorizzazioni generali adottate in data 15 dicembre 2016 ed efficaci dal 1° gennaio 2017 fino al 24 maggio 2018 per alcuni trattamenti di dati sensibili e di dati giudiziari.

L'articolo Nuove sul trattamento dei dati giudiziari: il parallelismo tra Spagna e Italia proviene da E-Lex.