ARRIVA IL DIGITAL MARKET ACT, IN APPLICAZIONE DA 2 MAGGIO 2023
Come è successo per il GDPR la Ue dà un certo margine ai paesi e alle aziende per uniformarsi alla normativa Ue. Perciò dal primo novembre 2022 è entrato in vigore il Digital Market Act (DMA), altrimenti noto come Regolamento (EU) 2022/1925, ma la sua applicazione viene differita al 2 maggio 2023, vale a dire sei mesi dopo. Gli obiettivi del DMA sono di regolamentare il commercio online sopratutto rispetto ai grandi player che spesso tendono a soffocare i piccoli. Quindi combatte gli abusi di mercato delle grandi piattaforme e impone maggior trasparenza: il tutto dovrebbe anche rendere migliore il servizio agli utenti. Saranno più stringenti le regole sul consenso a marketing e profilazione online e così sarà maggior trasparente il consenso relativo alle app da scaricare per ricevere la merce. Interessante sapere che questo regolamento prevede sanzioni dal 10 al 20 per cento del fatturato mondiale della compagnia incriminata. “DMA cambierà il mercato digitale profondamente – ha detto il capo dell’Antitrust Margrethe Vestager, tra i primi promotori della legge – Un piccolo numero di grandi compagnie possiede una fetta di mercato molto significativa e dovrà dimostrare che compete in maniera corretta”. DMA prevede che si dovranno adeguare le seguenti aziende: “a)servizi di intermediazione online; b)motori di ricerca online; c)servizi di social network online; d)servizi di piattaforma per la condivisione di video; e)servizi di comunicazione interpersonale indipendenti dal numero; f)sistemi operativi; g)browser web; h)assistenti virtuali; i)servizi di cloud computing; j)servizi pubblicitari online, compresi reti pubblicitarie, scambi di inserzioni pubblicitarie e qualsiasi altro servizio di intermediazione pubblicitaria, erogati da un’impresa che fornisce uno dei servizi di piattaforma di base elencati alle lettere da a) a i)”.
AZIENDA ITALIANA ACQUA MULTATA PER SITO POCO SICURO
Un’azienda fornitrice di acqua in Umbria con 13 mila iscritti è stata multata per 15 mila euro per il fatto di usare http:// e non https://. Http da tempo è considerato un protocollo non sicuro, in quanto manca la cifratura dei dati trasmessi. L’azienda si è giustificata dicendo che al sito accedono solo utenti iscritti all’area riservata. Ma la risposta non è stata giudicata soddisfacente dagli inquirenti, anche perché è risultato evidente che veniva “rubati” parecchi dati degli utenti, tra cui credenziali di autenticazione (nome utente e password), anagrafiche, con nomi, cognomi, codici fiscali/partite IVA, indirizzi di posta elettronica, numeri di telefono e dati di fatturazione. Una manna per i ladri del web.
COOKIE WALL DEI SITI SOTTO LA LENTE
Alcuni quotidiani italiani ed europei hanno modificato il cookie wall scrivendo che o si accettano i cookie o se si preferisce ‘Rifiuta’ bisogna abbonarsi. Sulla questione il Garante ha aperto delle istruttorie. Sull’argomento gli esperti di privacy danno i pareri più disparati. Alcuni pensano che se il lettore è informato delle conseguenze e le informative sono esaurienti, il comportamento è lecito. Se guardiamo però alle Linee Guida EDPB e quelle del Garante italiano prevedono comportamenti opposti e anche il GDPR sottolinea come il consenso deve essere libero e quindi non vincolato a nessuna offerta, bonus o altro. Quindi rispetto alle regole vigenti, l’editore non può imporre l’abbonamento per usufruire del servizio.
COLLABORAZIONE TRA GARANTE E UNIVERSITA’ INFORMATICA
Il Garante ha avviato un’interessante collaborazione con il Consorzio universitario per l’Informatica allo scopo di scambiare nozioni e riflessioni sulle tecnologie in continua evoluzione. Il presidente del Garante per la protezione dei dati personali, Pasquale Stanzione, e il presidente del Consorzio Interuniversitario Nazionale per l’Informatica (CINI), Ernesto Damiani, hanno sottoscritto nei giorni scorsi a Roma, presso la sede del Garante, una Convenzione attuativa dell’Accordo quadro siglato il 17 gennaio 2022. L’Accordo regola la collaborazione tra le due Istituzioni sullo sviluppo delle tecnologie, il rispetto della privacy e i diritti dei cittadini sul web.
ATTENZIONE A DISPOSITIVI DATI BIOMETRICI-TIMBRA CARTELLINO
E’ bastata la lamentela di un dipendente di un’azienda su un dispositivo che rilevava l’impronta digitale dei dipendenti in entrata, perché la Guardia di finanza andasse a controllare. Il titolare nel frattempo però aveva disinstallato il dispositivo e quindi il Garante ha potuto comminare una risicata multa amministrativa di 2 mila euro per non aver fornito risposte né riscontri all’Autorità. Per poter utilizzare questo tipo di dispositivi il Titolare deve dimostrare di avere idonea base giuridica e di prassi è utile che i dati biometrici non siano stoccati. L’azienda sanitaria di Enna un anno fa è stata multata con 30 mila euro per aver raccolto i dati biometrici/particolari di 2 mila dipendenti e il consenso dei dipendenti non è misura sufficiente per avvalorare il trattamento. Finora l’Authority ha affermato che «per installare questo tipo di sistemi è necessaria una base normativa che sia proporzionata all’obiettivo perseguito e che fissi misure appropriate e specifiche per tutelare i diritti degli interessati». In particolare, le norme devono «stabilire garanzie per circoscrivere gli ambiti di applicazione e regolare le principali modalità del trattamento». Quindi in sostanza il Garante vieta il trattamento finché non ci sarà una normativa nazionale chiara.
ARRIVA ISO SU CYBERSECURITY
Alla fine di ottobre è uscita la terza edizione della ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”, la norma sui Sistemi di gestione della sicurezza delle informazioni. A fronte di una recrudescenza degli attacchi informatici (+125 per cento da un anno all’altro) questa ISO è senz’altro da valutare. L’obiettivo è proteggere tutti i settori aziendali, non solo quelli strettamente legati alla raccolta e tutela dei dati personali. Ad esempio si fanno controlli sulla disponibilità e riservatezza dei dati, sulle minacce di vulnerabilità, sulla protezione dei dati cartacei e in cloud. La ISO ricalca le misure precedenti tranne in qualche dettaglio di procedura sui controlli.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di ‘La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019). Amarù, Fava e Fossi hanno pubblicato anche ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020) e ‘Privacy in progress’ (editore Franco Angeli, giugno 2021), acquistabile anche in digitale sul sito francoangeli.it. Il nostro ultimo volume sta avendo un certo successo con oltre 500 copie vendute.
