#49/2024: fare disastri privacy nel marketing e dire al Garante che è tutto lecito? È successo davvero.
Settimana n. 49 - dal 2 all'8 dicembre 2024
Benvenuti a un nuovo numero della nostra #Newsletter!
Le più interessanti novità degli ultimi sette giorni, in ambito Privacy, Intelligenza Artificiale e Mercati Digitali, oltre a uno sguardo più ampio sulle "news tech dal mondo".
Ma prima, come da tradizione, il #meme creato per noi dal mitico Not Boring Privacy: tutti gli altri suoi lavori li trovate su #Instagram, seguendo questo link o #cliccando sull'immagine:
IN PRIMO PIANO (la news del meme)
SANZIONE GARANTE PRIVACY A SKY - (LINK) Il Garante per la protezione dei dati personali ha sanzionato Sky Italia per numerose violazioni riscontrate durante le attività di telemarketing e di invio di comunicazioni commerciali. In particolare, dopo che l’Autorità aveva ricevuto numerose segnalazioni tra aprile 2022 e marzo 2023, ha accertato che la Sky Italia ha svolto attività di marketing, telefonico e tramite sms, in assenza di adeguate verifiche sugli adempimenti in materia di informativa e consenso, e senza consultare l’iscrizione delle utenze contattate nel Registro pubblico delle opposizioni prima di ogni campagna promozionale.
PRIVACY & CYBERSECURITY
CYBER SOLIDARITY ACT - (LINK) Il Consiglio dell’Unione europea ha adottato il 02 dicembre 2024 il Cyber Solidarity Act, normativa che ha l’obiettivo di rafforzare il coordinamento e la capacità di individuare, prepararsi e rispondere alle minacce informatiche sempre più frequenti. La normativa – proposta dalla Commissione europea il 18 aprile 2023 – prevede, in particolare meccanismi di cooperazione tra le Autorità nazionali e i centri di sicurezza transfrontalieri, che dovranno funzionare come uno scudo informatico europeo, avendo a disposizione tecnologie all’avanguardia, come l’AI e l’analisi avanzata dei dati, per rilevare e condividere avvisi tempestivi su minacce e incidenti informatici transfrontalieri.
LINEE GUIDA EDPB SU ART. 48 GDPR - (LINK) L’EDPB ha pubblicato in data 3 dicembre 2024 le Linee guida 02/2024 sull'articolo 48 del GDPR, aperte a consultazione pubblica fino al 27 gennaio 2025. Le linee guida chiariscono le condizioni in cui i dati personali possono essere comunicati alle autorità di Paesi terzi, sottolineando la necessità di una base giuridica per il trattamento e l'aderenza ai principi del GDPR. Inoltre, le linee guida prevedono l'applicazione di un test in due fasi per i trasferimenti di dati e riconoscono alcune basi giuridiche ai sensi dell'articolo 6 per le divulgazioni consentite.
DORA / 1 - STANDARD TECNICI - (LINK) Sono stati pubblicati nella Gazzetta Ufficiale dell'Unione Europea il 2 dicembre 2024 e saranno in vigore dal 22 dicembre 2024 gli Implementing Technical Standards per il Digital Operational Resilience Act (“DORA”). In particolare, gli standard tecnici includono modelli per il registro delle informazioni che le entità finanziarie devono utilizzare per comunicare i loro registri alle autorità di vigilanza utilizzando gli identificatori univoci dell'UE (EUID) e gli identificatori delle entità giuridiche (LEI). Le entità finanziarie sono tenute a fornire informazioni sia a livello individuale che di gruppo, a seconda della loro struttura, e dovranno includere informazioni sui fornitori diretti di ICT e sui subappaltatori che supportano funzioni critiche o importanti.
DORA / 2 - DICHIARAZIONE AUTORITÀ EUROPEE - (LINK) In data 4 dicembre 2024, l'Autorità europea degli strumenti finanziari e dei mercati (“ESMA”) ha pubblicato una dichiarazione con le altre autorità di vigilanza europee (“ESA”) sull'applicazione del Digital Operational Resilience Act (“Regolamento DORA”). In particolare, è stato evidenziato che, considerando l'applicazione del DORA dal 17 gennaio 2025, le entità finanziarie dovrebbero identificare e affrontare, in modo tempestivo, le lacune tra le loro configurazioni interne e i requisiti DORA. Considerando il profilo di rischio, le dimensioni, l'ampiezza e la complessità delle attività delle varie entità finanziarie, le Autorità competenti sono pronte a vigilare sui requisiti DORA, con un approccio basato sul rischio e tenendo conto delle priorità strategiche di vigilanza dell'Unione.
ENISA - (LINK) L’ENISA ha pubblicato un report in data 3 dicembre 2024 sullo stato di sicurezza informatica dell’Unione europea, adempimento che dovrà essere fatto ogni 2 anni ai sensi della Direttiva NIS 2. L'analisi, in particolare, si basa su varie fonti, tra cui l’EU Cybersecurity Index, la serie di report NIS Investment, il Foresight 2030 e il report ENISA Threat Landscape. La valutazione dei rischi ha evidenziato un livello di minaccia informatica sostanziale, evidenziando le vulnerabilità scoperte che possono essere sfruttate dagli autori malevoli. Gli Stati membri dell'UE hanno sviluppato strategie di sicurezza informatica che presentano un allineamento generale negli obiettivi. I settori critici appaiono più eterogenei in termini di dimensioni e criticità, il che complica la supervisione e l'implementazione uniforme delle misure di sicurezza informatica. Dal report emerge anche che il livello di competenze digitali delle generazioni più giovani appare più elevato, nonostante le variazioni nella disponibilità di programmi educativi e nella maturità educativa tra gli Stati membri.
NOYB - (LINK) NOYB ha ottenuto lo status di "Entità Qualificata" in Austria e Irlanda, che le consente di avviare azioni collettive in tutta l'UE ai sensi della Direttiva (UE) 2020/1828. Potrà presentare richieste di ingiunzione per fermare pratiche illecite, come violazioni del GDPR, e azioni di risarcimento per danni non materiali dovuti all'uso improprio dei dati personali: questa forma di tutela collettiva mira a rappresentare milioni di utenti, con i primi casi previsti nel 2025.
Consigliati da LinkedIn
INTELLIGENZA ARTIFICIALE
METODOLOGIA “HUDERIA” DAL CONSIGLIO D’EUROPA - Il 2 dicembre 2024, in occasione della 12ª riunione plenaria, il Comitato per l’Intelligenza Artificiale del Consiglio d’Europa ha pubblicato una guida per la valutazione dei rischi e degli impatti dei sistemi di Intelligenza Artificiale (IA). Questa guida, nota come “Metodologia HUDERIA”, è progettata per proteggere e promuovere i diritti umani, la democrazia e lo stato di diritto. La metodologia può essere adottata da attori pubblici e privati per identificare e affrontare i rischi e gli impatti relativi ai diritti fondamentali lungo tutto il ciclo di vita di un sistema di AI. Un aspetto cruciale della metodologia è la creazione di un piano di mitigazione del rischio, finalizzato a ridurre o eliminare i potenziali danni, tutelando la società. Inoltre, la metodologia stabilisce la necessità di rivalutazioni periodiche per assicurare che i sistemi di IA continuino a operare in modo sicuro ed etico, in risposta all'evoluzione del contesto e della tecnologia.
ACN - (LINK) Il 3 dicembre 2024, l'Agenzia per la cybersicurezza nazionale italiana (ACN) ha annunciato un piano di lavoro del G7 sulla sicurezza informatica e l'intelligenza artificiale. La riunione si è concentrata sulla comprensione dei rischi e delle minacce correlati all'IA, sulla protezione delle infrastrutture critiche e sulle condizioni di sicurezza necessarie per liberare le grandi potenzialità di sviluppo legate all’impiego dell’AI in ambito cyber.
FAQ SULL'AI GPEN CODE OF PRACTICE - (LINK) La Commissione europea ha pubblicato il documento "General-Purpose AI Models in the AI Act – Questions & Answers". La guida evidenzia i rischi sistemici che questi modelli possono causare, tra cui disinformazione, discriminazione e minacce alla sicurezza, paragonabili a quelli trattati nel Digital Services Act. Chi modifica o integra tali modelli può essere classificato come fornitore di nuovi modelli, con implicazioni economiche anche significative. Il Code of Practice definisce linee guida operative ma non modifica concetti chiave o criteri di rischio stabiliti nell'AI Act.
MERCATI DIGITALI
CODICE DI CONDOTTA INFLUENCER - CONSULTAZIONE PUBBLICA AGCOM - (LINK) L'Autorità per le Garanzie nelle Comunicazioni ha deciso di aprire una consultazione pubblica sul codice di condotta per gli influencer, istituito con la delibera n. 7/24/CONS del 10 gennaio 2024. La decisione è stata presa nella riunione del 26 novembre 2024. Oltre al codice di condotta, saranno sottoposte a consultazione anche due proposte di modifica delle Linee-guida elaborate per gli Influencer, abbassando le soglie per la definizione di influencer rilevante rispetto a quanto inizialmente previsto. Con questa iniziativa l’AGCOM punta ad aggiornare il quadro di regole condivise per rendere il settore dell'influencer marketing più responsabile e trasparente.
REPORT SULLA WEB TAX - Nell’ambito della legge di bilancio 2025, il Governo italiano sta valutando di estendere Web Tax a tutte le imprese, anche alle PMI. A questo riguardo, Confimprenditori ha pubblicato un report, lanciando un allarme e prevedendo che la tassa andrà a gravare sulle imprese più piccole, compromettendone la competitività e la crescita in un contesto economico sempre più digitalizzato. Con l’estensione della Web Tax alle PMI, le aziende che dipendono dal web per le loro attività commerciali (e-commerce, marketing online, software as a service, ecc.) potrebbero affrontare un ingente aumento dei costi diretti. Inoltre, la Web Tax potrebbe spingere le PMI a spostare le proprie attività verso mercati internazionali con regimi fiscali più favorevoli, come gli Stati Uniti o l’Asia.
SOUNDREEF - Dopo la sentenza della Corte di giustizia dell’Unione europea contro il recepimento della Direttiva Barnier, che a marzo aveva definitivamente aperto il mercato italiano del diritto d’autore ai privati, Soundreef ha annunciato che investirà sull’Europa con un piano triennale di investimento molto importante, che allargherà gli orizzonti della data company romana a tutta l’UE. L’approccio di Soundreef consiste, in particolare, nell’utilizzare l’AI e, grazie alla tecnologia sviluppata, possiede la capacità di controllare i passaggi dei lavori degli artisti sui media, ma anche di monitorare gli eventi sparsi sul territorio.
NEWS TECH DAL MONDO
AUSTRALIA - L'Office of the Australian Information Commissioner (“OAIC”) ha accolto con favore l'approvazione del disegno di legge di modifica della privacy e di altre normative del 2024, che rappresenta un importante passo avanti nel miglioramento della tutela della privacy per la comunità australiana. Il disegno di legge contiene misure molto significative, che prevedono nuovi poteri e funzioni, destinati a supportare le autorità nella tutela dei diritti degli interessati in un periodo molto critico.
GRECIA - La Grecia ha promulgato la legge n. 5160/2024, che attua la Direttiva NIS 2. La legge conferisce all'Autorità nazionale per la sicurezza informatica (NCA) poteri di supervisione e audit ampliati e istituisce il Cyber Attack Response Team (National CERT) per organizzazioni specifiche. Inoltre, viene ampliata la portata delle entità tenute a implementare misure di sicurezza informatica.
UNGHERIA - Il 4 dicembre 2024, il Parlamento ungherese ha pubblicato una bozza di legge sulla sicurezza informatica al Comitato legislativo, che delinea misure di protezione, segnalazione degli incidenti e supervisione a partire dal 1 gennaio 2025. Il progetto di legge si applicherebbe ai sistemi informativi elettronici delle organizzazioni della pubblica amministrazione, delle organizzazioni influenzate dallo Stato e di settori come l'energia e l'assistenza sanitaria.
SPAGNA - Il 3 dicembre 2024, l'Autorità spagnola per la protezione dei dati (AEPD) ha pubblicato un articolo sulla valutazione dell'elaborazione della formazione di un sistema di intelligenza artificiale (IA) basato sull'apprendimento automatico e sulle reti neurali. L'articolo sottolinea l'importanza della minimizzazione e dell'accuratezza dei dati, della protezione dei dati tramite progettazione e della responsabilità nell'addestramento dell'intelligenza artificiale.
Immagine di copertina di Jason Briscoe su Unsplash.
Il logo di questa newsletter è stato creato da Alberto Scirè con Dall-E 2 (OpenAI), i cui termini e condizioni di utilizzo, inclusi gli aspetti relativi al #copyright, sono disponibili qui.
Le #news di Project:IN Avvocati non hanno pretesa di periodicità né costituiscono parere legale: per informazioni o approfondimenti su specifiche tematiche #scriveteci via LinkedIn o #contattateci ai riferimenti indicati sul nostro sito: www.projectin.legal.