Ascolta la puntata

Il Digital Omnibus — il pacchetto normativo con cui Bruxelles sta razionalizzando le regole digitali dell'UE — spinge nella stessa direzione da anni: più condivisione, più portabilità, meno silos. Un obiettivo legittimo, ma con un effetto collaterale che molte imprese non hanno ancora messo a fuoco: ogni obbligo di data sharing è una finestra in più da cui può uscire il know-how che non si è scelto o che non si può brevettare.

Il pacchetto comprende due testi principali: uno che interviene sulle regole esistenti in materia di dati, cybersicurezza e privacy (il digital acquis), ancora in negoziato; e uno sull'intelligenza artificiale, su cui è stato raggiunto un accordo politico provvisorio il 7 maggio 2026. Le date di pubblicazione ufficiale restano soggette al completamento del processo formale.

Cosa cambia concretamente

Le modifiche al digital acquis più rilevanti per chi gestisce informazioni sensibili:

• Dati pubblici e grandi operatori. Le pubbliche amministrazioni potranno applicare condizioni speciali alle Very Large Enterprises e ai gatekeeper DMA che riusano dati pubblici, per evitare che l'accesso privilegiato ai dati consolidi posizioni già dominanti.

• Intermediari dati. Il regime obbligatorio del Data Governance Act diventerebbe volontario, con requisiti di separazione più leggeri. Più attori nella catena, più punti di contatto.

• Cloud switching. Regimi semplificati per alcune categorie, ma con salvaguardie esplicite su trade secrets e rischi di esposizione verso giurisdizioni terze.

• Smart contract per il data sharing. Eliminati i requisiti essenziali dell'art. 36 del Data Act: meno vincoli tecnici, più peso alla governance contrattuale.

Il punto di partenza: il Data Act

Già in vigore dal 12 settembre 2025, il Data Act dà agli utenti di dispositivi connessi il diritto di far condividere i propri dati con terze parti. Per i produttori, questo espone un perimetro delicato: i dati possono contenere logiche operative, parametri di configurazione, prestazioni, tutto ciò che compone il know-how senza mai essere stato etichettato come tale. E il Data Act disapplica la protezione sui generis sui database in questo contesto, spostando il peso della tutela verso i segreti commerciali.

Pensiamo ad un caso concreto. Un produttore di impianti industriali connessi riceve da un cliente la richiesta di condividere 18 mesi di log operativi con un fornitore di manutenzione indipendente che è concorrente diretto del suo servizio post-vendita. Quei log contengono parametri di calibrazione e sequenze di controllo sviluppate in anni di R&D, mai brevettate. Il Data Act non ammette un rifiuto generalizzato, ma consente al produttore di richiedere misure tecniche proporzionate prima di condividere (art. 4, par. 6): NDA con clausola anti-reverse-engineering, dati sensibili solo in forma aggregata, divieto contrattuale di usare i dati per sviluppare servizi concorrenti (art. 6, par. 2, lett. e). Se il terzo rifiuta le misure, il produttore può bloccare la condivisione, ma deve motivarlo per iscritto e notificare l'autorità competente. Questi due passi non sono facoltativi: sono la condizione formale perché il rifiuto sia legittimo.

Il Regolamento prevede anche la possibilità di rifiutare la condivisione quando essa renderebbe altamente probabile un serio danno economico. La soglia è alta, e il problema pratico è che quel danno va dimostrato prima che la divulgazione avvenga, su dati che non sono ancora usciti. Chi non ha documentato il valore dei propri segreti si troverà senza argomenti nel momento in cui servono.

La novità del Digital Omnibus: il fattore giurisdizionale

Se approvata nella forma proposta, la modifica al Data Act introdurrebbe una nuova base di rifiuto alla condivisione: il rischio di acquisizione illecita da parte di soggetti operanti in Paesi terzi con tutele insufficienti  o con tutele formalmente equivalenti ma prive di enforcement reale.

È un cambiamento di prospettiva concreto. Oggi molti leak non nascono da attacchi informatici o dipendenti infedeli: nascono dal fatto che un dato condiviso legittimamente arriva a un destinatario corretto, che però opera in una giurisdizione dove un'autorità locale può richiedergli di divulgarlo e dove ottenere un'ingiunzione è lento o impossibile. Il segreto si perde per struttura sistemica, non per dolo. La proposta prova a trasformare questa asimmetria in una leva giuridica: il rifiuto è legittimo, ma deve essere motivato per iscritto e notificato all'autorità competente.

Cinque cose da fare adesso

• Mappare i dati in senso competitivo. Non ai fini GDPR: quali dataset, se analizzati, rivelano processi o logiche proprietarie? Quali rientrano nel perimetro del Data Act?

• Costruire un trade secret registry. Un segreto commerciale esiste se è non noto, ha valore economico proprio perché segreto, ed è protetto con misure ragionevoli. NDA, controlli di accesso, audit log, policy interne: tutto documentato e aggiornato.

• Strutturare la risposta alle richieste di data sharing. Serve un processo, non una valutazione caso per caso. Con criteri chiari su quando opporre un rifiuto, come motivarlo e come notificarlo.

• Fare l'assessment giurisdizionale dei flussi dati. Chi riceve i dati? Dove opera? Dove sono i suoi sub-fornitori? Qual è l'enforcement reale in quelle giurisdizioni?

• Monitorare l'iter normativo. Il Digital Omnibus per il digital acquis cambierà. Chi lavora con dati sensibili deve sapere come, e quando.

* * *

La direzione del Digital Omnibus non cambierà: più circolazione, più portabilità. Ma le imprese che hanno costruito il loro vantaggio su dati e processi non brevettati non possono aspettare che la normativa si stabilizzi. Il segreto che resiste è quello che è già stato strutturato come tale prima che qualcuno chieda di condividerlo.

Sul fronte della tempistica, i co-legislatori hanno abbandonato l'approccio flessibile proposto dalla Commissione — che prevedeva un rinvio fino a 16 mesi subordinato alla disponibilità degli standard tecnici — in favore di un calendario fisso: le nuove date di applicazione delle norme sui sistemi ad alto rischio saranno il 2 dicembre 2027 per i sistemi autonomi e il 2 agosto 2028 per quelli incorporati in prodotti. Una scelta che offre agli operatori economici un orizzonte prevedibile su cui pianificare i propri adeguamenti.

L'accordo interviene anche su tutela dei diritti fondamentali, introducendo un divieto esplicito per i sistemi di IA di generare contenuti sessuali non consensuali o materiale pedopornografico (CSAM), e ripristinando il criterio della stretta necessità per il trattamento di dati personali sensibili ai fini del rilevamento dei bias. Sul piano della competitività, le esenzioni regolamentari già previste per le PMI vengono estese alle piccole imprese a media capitalizzazione (SMC), riducendo gli oneri amministrativi per una platea più ampia di soggetti.

Vengono inoltre chiarite le competenze dell'AI Office nella supervisione dei sistemi basati su modelli di IA per uso generale, con esplicita elencazione delle eccezioni in cui restano competenti le autorità nazionali. 

Sul versante industriale, un compromesso ad hoc consente di limitare l'applicazione dell'AI Act nei settori — come dispositivi medici, macchinari e giocattoli — in cui la normativa settoriale prevede già requisiti analoghi, evitando duplicazioni e semplificando la compliance.

L'accordo dovrà ora essere formalmente approvato da entrambe le Istituzioni prima dell'adozione definitiva, attesa nelle prossime settimane.

L’Agenzia per la Cybersicurezza Nazionale (“ACN”) ha pubblicato oggi la Determinazione ACN n. 155238/2026 (“Determinazione”), recante le categorie di rilevanza nonché il processo, le modalità e i criteri per l'elencazione, caratterizzazione e categorizzazione delle attività e dei servizi. 

La Determinazione adotta il modello di categorizzazione meglio definito agli allegati 1 e 2 della stessa Determinazione. Entrambi i modelli sono articolati in dieci macro-aree, per ciascuna delle quali sono indicate la denominazione, la descrizione e la categoria di rilevanza pre-assegnata. Le quattro categorie di rilevanza individuate dalla determinazione sono: impatto alto, impatto medio, impatto basso e impatto minimo. 

Sotto il profilo contenutistico, i due allegati individuano le medesime macro-aree, che si distinguono per la categoria di rilevanza loro attribuita.

Quanto all’ambito di applicazione, l’Allegato 1 si applica ai soggetti NIS riconducibili alle tipologie di soggetto riconducibili ai settori: energia; trasporti; sanitario; acqua potabile; acque reflue; spazio; servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; fabbricazione; e ai soggetti che forniscono servizi di trasporto pubblico locale. L’Allegato 2 si applica a tutti gli altri soggetti NIS non riconducibili a tali settori. 

Sul piano operativo, la Determinazione stabilisce che i soggetti NIS, tramite il Portale ACN, devono procedere all’elencazione e alla categorizzazione di tutte le attività svolte e di tutti i servizi erogati, sia internamente sia esternamente, suddividendoli nelle macro-aree del modello di cui all’allegato rilevante. Per ogni attività o servizio devono indicare tre elementi: la macro-area corrispondente, la denominazione e descrizione, e la categoria di rilevanza. 

È previsto anche un margine di valutazione autonoma. Il soggetto NIS può infatti attribuire a una specifica attività o a un servizio una categoria diversa da quella pre-assegnata alla macro-area, ma solo sulla base di una propria valutazione dell’impatto che una possibile compromissione avrebbe sulla capacità di svolgere correttamente le attività e i servizi NIS. In questo caso, il soggetto deve conservare la documentazione che giustifica tale valutazione. Se invece non svolge attività o non eroga servizi riconducibili a una o più macro-aree, non è tenuto a indicarle. 

La Determinazione prevede poi due regole di coordinamento. La prima riguarda i soggetti che hanno già svolto la classificazione dei dati e dei servizi per la Pubblica Amministrazione ai sensi del Decreto Direttoriale ACN n. 21007/24: per tali soggetti si applica quel modello, in luogo del modello della presente determinazione. La seconda riguarda le attività e i servizi soggetti alla disciplina del perimetro di sicurezza nazionale cibernetica, per cui la categoria di rilevanza è predeterminata come “impatto alto”, senza applicare il procedimento ordinario. 

Infine, per quanto non espressamente previsto dalla Determinazione, si applicano le Disposizioni del Decreto NIS. Tale Determinazione si applica a decorrere dal 1° maggio 2026.

Sapete tutti che sui meccanismi di Consent or Pay si basano – nel senso che dal loro funzionamento dipendono – alcuni modelli di business. Su tutti, quello dell’editoria online: con i ricavi pubblicitari, i giornali pagano i giornalisti.

E sapete tutti anche che la questione giuridica che questi modelli sollevano è, da anni, sempre la stessa: la libertà del consenso.

Secondo le autorità di controllo, il consenso non è libero – e quindi non è valido – se l’alternativa offerta all’utente, cioè pagare, lo induce di fatto a prestarlo. È un’impostazione coerente con l’art. 7 del GDPR e con la lettura rigorosa che ne dà lo European Data Protection Board.

Confesso però che, dopo anni di dibattiti, continuo a non capire quale sia, in concreto, questa “alternativa equivalente” che renderebbe il consenso libero. Ma credo di non essere il solo. Perché è facile dire che 1,99 euro al mese possono influenzare una scelta. È molto più difficile dire quale alternativa, realisticamente sostenibile, non la influenzerebbe.

E mentre noi discutevamo di questo – cioè del prezzo del consenso – la Commissione Europea ha spostato il piano del discorso.

Con il Digital Omnibus, il legislatore prende atto di un fatto noto a tutti: gli utenti non leggono i cookie banner, non capiscono cosa stanno accettando, e prestano il consenso solo per liberarsi del fastidio di non poter visualizzare una pagina web nella sua interezza a causa della presenza dei cookie banner.

Il consenso, in altre parole, non è espressione di una scelta libera e informata.

Per rimediare, la proposta introduce i segnali automatizzati: si tratta di strumenti tecnici che consentono all’utente di esprimere le proprie preferenze una volta per tutte senza dover interagire ogni volta con i cookie banner. Ai titolari è fatto obbligo di dotarsi di strumenti in grado di leggere questi segnali e di rispettarli.

È, se vogliamo, un tentativo di superare il consenso come lo abbiamo conosciuto finora.

Ma – ed è qui che il discorso diventa interessante – il legislatore introduce una deroga: i media service provider, quando offrono servizi mediali, non sono tenuti a rispettare questi segnali.

E la giustificazione di questa deroga non è tecnica. È economica: si vuole preservare la possibilità per gli editori di interagire direttamente con gli utenti per raccoglierne il consenso e, così facendo, preservare i flussi di ricavi che sostengono il giornalismo indipendente, definito pilastro della società democratica.

Ora, da un lato, il legislatore ci dice che il sistema dei cookie banner è inefficace, genera fatica (la fatica del consenso), e non produce decisioni realmente consapevoli.

Dall’altro, decide di mantenerlo – e anzi di proteggerlo – proprio per il settore dei media.

La domanda, allora, è: come si può, nello stesso tempo, riconoscere che il meccanismo è strutturalmente inadeguato a raccogliere un consenso libero e continuare a fondare su quel meccanismo la validità del consenso stesso?

Forse la risposta è più semplice – e più scomoda – di quanto siamo stati disposti ad ammettere finora.

Forse dovremmo dire apertamente che il Consent or Pay, così come oggi è strutturato, presenta dei limiti. Che la scelta dell’utente è inevitabilmente condizionata. Che il consenso, in questi contesti, non è mai completamente “puro”.

Ma che questo non lo rende automaticamente illegittimo.

Perché entra in gioco qualcos’altro: il bilanciamento.

Il diritto alla protezione dei dati personali, del resto, non vive nel vuoto. Convive con altri diritti e libertà: la libertà di espressione, la libertà di informazione, la libertà d’impresa.

Il punto non è negare la natura fondamentale del diritto alla protezione dei dati personali. Il punto è riconoscere che, in un sistema costituzionale, anche i diritti fondamentali possono entrare in tensione e devono essere bilanciati.

E qui, a mio avviso, il Digital Omnibus segna un passaggio importante.

Non dice che i dati personali sono una merce.

Non dice che il diritto alla protezione dei dati è disponibile.

Ma dice qualcosa di più preciso: che quando sono in gioco interessi sufficientemente rilevanti – strutturali, democraticamente giustificati – il bilanciamento è non solo possibile, ma legittimo.

E lo dice in una norma di rango primario, non in una costruzione dottrinale.

Questo, inevitabilmente, lascia un segno.

Perché rende più difficile sostenere una posizione assolutista, come quella espressa dallo stesso European Data Protection Board, secondo cui i dati personali non possono mai essere oggetto di scambio economico o di condizionamento.

La realtà normativa che si sta delineando è più sfumata.

E allora forse la vera domanda non è più: “il dato può avere un prezzo?”. Ma un’altra: “quali interessi giustificano che, in certe condizioni, possa averlo?”.

E soprattutto: chi decide questo bilanciamento?

Il legislatore, certamente.

Le autorità di controllo, attraverso l’interpretazione.

I giudici, nei casi concreti.

E, in una certa misura, anche il mercato – che però non può essere lasciato solo.

Perché il rischio, altrimenti, è evidente: che il bilanciamento diventi progressivamente una mercificazione.

E allora il punto – il vero punto – su cui, a mio avviso, il dibattito deve spostarsi è questo: l’architettura valoriale che il sistema europeo sta costruendo.

Se la deroga per i media è giustificata dalla rilevanza democratica del giornalismo, quali altri interessi economici possono aspirare alla stessa dignità?

Penso alla sostenibilità delle piattaforme, all’innovazione tecnologica, all’accesso ai servizi digitali, alla ricerca scientifica.

La domanda che rimane aperta è dove si traccia il confine tra un bilanciamento legittimo e una progressiva erosione del diritto fondamentale.

Molto, secondo me, si giocherà sull’interplay tra Digital Omnibus e Consent or Pay.

Ed è per questo che, forse, il Consent or Pay non è più solo un problema di consenso.

È il luogo in cui si sta decidendo qualcosa di più grande: che tipo di rapporto vogliamo costruire, nel diritto europeo, tra diritti fondamentali ed economia dei dati.

• la Determinazione ACN n. 127437 del 13 aprile 2026, che aggiorna e sostituisce la precedente Determinazione ACN n. 379887 del 19 dicembre 2025 e introduce l’obbligo di svolgere il nuovo processo di elencazione e categorizzazione delle attività e dei servizi ed elencare i fornitori rilevanti NIS durante l’aggiornamento annuale delle informazioni;
• la Determinazione ACN n. 127434 del 13 aprile 2026, che stabilisce i termini entro cui i soggetti iscritti per la prima volta nell’elenco NIS nel corso del 2026 dovranno adempiere agli obblighi di notifica degli incidenti significativi e di adozione delle misure di sicurezza.

Elencazione dei fornitori rilevanti NIS

La Determinazione ACN n. 127437/2026 introduce l’obbligo di indicare i fornitori rilevanti NIS nell’ambito del più ampio processo di aggiornamento annuale delle informazioni.

Un fornitore rilevante NIS è il soggetto che fornisce servizi o prodotti a un soggetto NIS e che soddisfa almeno uno dei seguenti criteri:

1. la fornitura è riconducibile alle attività o ai servizi di cui all’allegato I, punti 8 e 9, del Decreto NIS, tra cui rientrano i fornitori di servizi DNS, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi cloud, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti (CDN), nonché i fornitori di servizi gestiti e i fornitori di servizi di sicurezza gestiti;
2. l’interruzione o la compromissione della fornitura comporterebbe un impatto significativo sulla capacità del soggetto NIS di erogare le attività o i servizi per cui rientra nell’ambito NIS, anche perché non sono disponibili fornitori alternativi adeguati (fornitori non fungibili).

Per adempiere a questo obbligo, i soggetti NIS devono utilizzare il “Servizio NIS/Aggiornamento annuale informazioni” sul Portale ACN e indicare, per ciascun fornitore rilevante:

• la denominazione;
• il codice fiscale;
• il Paese in cui ha sede legale;
• i codici CPV (Common Procurement Vocabulary) relativi alle forniture di cui il soggetto NIS beneficia;
• il criterio di rilevanza utilizzato.

Elencazione e categorizzazione delle attività e dei servizi

Una delle principali novità operative riguarda l’obbligo, per i soggetti NIS, di comunicare l’elenco delle proprie attività e dei propri servizi, attribuendo a ciascuno la relativa categoria di rilevanza. Il d.lgs. n. 138/2024 (“Decreto NIS”) prevede che questo adempimento sia svolto dal 1° maggio al 30 giugno di ogni anno, tramite la piattaforma digitale ACN, a partire dalla ricezione della prima comunicazione di inserimento nell’elenco dei soggetti NIS.

La Determinazione ACN n. 127437/2026 precisa che tale attività deve essere svolta tramite il “Servizio NIS/Categorizzazione” del Portale ACN. In concreto, il Punto di Contatto deve compilare l’elenco delle attività e dei servizi dell’organizzazione e attribuire a ciascuno la categoria di rilevanza secondo il modello che verrà stabilito dall’ACN nei prossimi giorni, con la pubblicazione della determinazione con il modello di categorizzazione, insieme a materiale informativo per supportare nello svolgimento di una analisi di impatto (BIA) semplificata.

È importante sottolineare che, decorso il termine del 30 giugno, l’elenco categorizzato delle attività e dei servizi si intende definitivamente acquisito e non più modificabile, salvo i casi di ritardo dovuti a documentate criticità tecnico-operative non imputabili al soggetto. 

Inoltre, le entità finanziarie soggette al Regolamento DORA e rientranti anche nell’ambito NIS sono esentate da questo specifico adempimento, ferma restando la possibilità di aderirvi volontariamente.

L’elenco categorizzato delle attività e dei servizi trasmesso dai soggetti NIS potrà essere sottoposto a verifiche di conformità da parte dell’ACN, effettuate a campione e anche mediante confronto con i dati comunicati da soggetti comparabili. L’ACN dovrà fornire un riscontro entro 90 giorni dalla trasmissione, termine prorogabile una sola volta fino a ulteriori 60 giorni in caso di approfondimenti. Qualora siano richieste integrazioni, chiarimenti o modifiche, il soggetto NIS dovrà rispondere entro 30 giorni; in caso di mancato o tardivo riscontro, l’elenco potrà essere rigettato. In assenza di un esito negativo comunicato nei termini previsti, l’elenco si intende convalidato.

Termini per i soggetti inseriti nell’elenco NIS per la prima volta nel 2026

La Determinazione ACN n. 127434/2026 riguarda invece i soggetti che sono stati inseriti per la prima volta nell’elenco dei soggetti NIS nel corso del 2026. Per questi soggetti, ACN ha fissato i termini per l’adempimento degli obblighi in materia di misure di sicurezza e di notifica. In particolare: 

• il termine per l’adozione delle misure di sicurezza previste dagli allegati 1 e 2 della Determinazione ACN n. 379907/2025 scade il 31 luglio 2027;
• l’obbligo di notifica degli incidenti significativi descritti negli allegati 3 e 4 della Determinazione ACN n. 379907/2025 decorre dal 1° gennaio 2027.

Un’ulteriore previsione riguarda i gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio inseriti nell’elenco NIS nel corso del 2026. Per questi soggetti, la Determinazione ACN n. 127434/2026 stabilisce che gli obblighi richiamati dall’articolo 4(1) della Determinazione ACN n. 379907/2025 devono essere adempiuti entro il 31 luglio 2027.

Se hai bisogno di assistenza e supporto nell’adempimento degli obblighi previsti dalla disciplina NIS, rivolgiti ai tuoi professionisti di riferimento.

Il Referente CSIRT, la cui designazione è prevista dalla Determinazione ACN n. 250916 del 19 settembre 2025, è colui o colei che ha il compito di gestire le interlocuzioni con il CSIRT Italia (Computer Security Incident Response Team nazionale) e di trasmettere le notifiche di incidenti significativi (come definiti dalla Determinazione ACN n. 164179) e le notifiche volontarie di informazioni rilevanti sulla cybersicurezza.

Le FAQ precisano che il Referente CSIRT può essere qualsiasi persona fisica che disponga di competenze di base in materia di cybersicurezza e gestione degli incidenti informatici, nonché di un’adeguata conoscenza dei sistemi e delle reti dell’organizzazione. 

In tale prospettiva, è ammessa anche la designazione di professionisti esterni, quali il responsabile di un SOC/CERT o il gestore di un’infrastruttura IT esternalizzata.

È inoltre previsto che, limitatamente alle organizzazioni di dimensioni contenute, i ruoli di Punto di Contatto e Referente CSIRT possano coincidere.

Le FAQ chiariscono anche che non esistono limitazioni relative alla cittadinanza del Referente CSIRT e che il dialogo con lo CSIRT Italia può avvenire anche in lingua inglese.

Un ulteriore chiarimento riguarda la natura della designazione: essa configura una delega esclusivamente operativa e non implica alcun trasferimento di responsabilità, che restano in capo agli organi di amministrazione e direzione del soggetto NIS. 

Inoltre, viene specificato che i Sostituti del Referente CSIRT devono essere in possesso dei medesimi requisiti del Referente CSIRT e sono soggetti alle medesime previsioni operative.

Le FAQ indicano poi che la notifica degli incidenti può essere effettuata, oltre che dal Referente CSIRT e dai suoi sostituti, anche dal Punto di Contatto e dal Sostituto Punto di Contatto.

Infine, con riferimento alla procedura di designazione, viene specificato che il Punto di Contatto deve inserire nel Portale dei Servizi ACN il codice fiscale e l’indirizzo e-mail del Referente CSIRT e degli eventuali sostituti. Successivamente, il Referente CSIRT (e i suoi sostituti) devono accedere al Portale tramite SPID o CIE e completare il censimento della propria utenza, senza necessità di caricare alcuna documentazione di supporto.

The law includes 28 articles that define how AI can be used in different sectors. It also introduces rules for protecting minors under 14, requiring parental consent before any data linked to them can be processed. Italian lawmakers say the goal is to make AI systems fair and safe for citizens while allowing companies to keep innovating responsibly.

According to Giulio Uras:

“The Italian government’s effort has been both remarkable and, for once, genuinely timely. It sets a clear benchmark for EU countries aiming to complement the AI Act at the national level. Its approach is founded on three key pillars: innovation, transparency, and criminal protection. 

On innovation, the Italian law conveys a clear and forward-looking policy direction. By authorising the secondary use of pseudonymised personal data for research purposes, it adopts a functional and proportionate regulatory model designed to foster scientific and technological development. This approach implicitly acknowledges that Europe’s ability to compete in the global AI landscape depends on avoiding an overly dogmatic interpretation of fundamental rights (particularly in the field of data protection) that could unduly restrict legitimate research and innovation. 

As for transparency, the Italian law is more debatable. The law extends disclosure obligations across several sectors (including employment and intellectual professions) without following the AI Act’s risk-based approach. Such a broad rule may overburden low-risk systems and, paradoxically, stifle innovation.

The criminal protection provisions yield mixed results. The new offense addressing deepfakes(Art. 612-quater of the Italian Criminal Code) effectively targets a growing threat. More broadly, introducing criminal law safeguards was undoubtedly necessary, as it reinforces protection against the unlawful use of AI to obtain unfair profits or inflict harm. However, criminal provisions are effective only when they can be concretely enforced. In this regard, the drafting technique adopted for the new aggravating circumstance (Art. 61, no. 11-decies of the Italian Criminal Code) raises issues of legal clarity and operational effectiveness, which may ultimately limit its enforceability in practice.

The real challenge for EU Member States that wish to follow Italy’s example will be to do so without adding unnecessary layers of bureaucracy or new burdens on businesses. Otherwise, the drive for innovation risks being lost in translation.” 

Full article published in TechRound. 
 

La novità più rilevante è l’introduzione della figura del Referente CSIRT.

Ma chi è il Referente CSIRT? 

Il Referente CSIRT è colui o colei che ha il compito di gestire le interlocuzioni con il CSIRT Italia (Computer Security Incident Response Team nazionale) e di trasmettere le notifiche di incidenti significativi (come definiti dalla Determinazione ACN n. 164179) e le notifiche volontarie di informazioni rilevanti sulla cybersicurezza.

Per assicurare tempestività e continuità alle comunicazioni con il CSIRT, la normativa prevede la possibilità di nominare uno o più sostituti del Referente CSIRT, che lo affiancano nello svolgimento delle sue funzioni e che possono operare in sua vece in caso di assenza o impedimento.

A differenza del Punto di Contatto e del Sostituto Punto di Contatto, può essere designata quale Referente CSIRT (e come suo sostituto) anche una persona fisica esterna all’organizzazione (un consulente, ad esempio).

In ogni caso, è richiesto che le persone designate possiedano competenze di base in materia di sicurezza informatica e gestione degli incidenti e una conoscenza approfondita dei sistemi informativi e delle reti del soggetto NIS per il quale operano.

La designazione deve essere effettuata dal Punto di Contatto tramite una procedura apposita. La procedura di designazione sarà attiva dal 20 novembre 2025 e dovrà essere completata entro il 31 dicembre 2025, attraverso il portale dei servizi accessibile tramite il sito web dell’ACN.

A prima vista, l’introduzione della figura del Referente CSIRT rappresenta per i soggetti NIS un importante strumento di supporto, in quanto consente di affidare la gestione delle notifiche di incidenti anche a persone esterne all’organizzazione, dispensando i soggetti NIS da attività particolarmente gravose, time consuming e per cui è preferibile ricorrere alle competenze di consulenti esterni. 

Ciò risulta utile, in particolare, per:

• quei soggetti NIS che non dispongono di strutture o risorse interne adeguate per fare fronte agli adempimenti connessi alla notifica degli incidenti;

• le organizzazioni estere soggette alla giurisdizione nazionale (ad esempio, i fornitori di reti pubbliche di comunicazione elettronica e i servizi di comunicazione elettronica accessibili al pubblico) che possono incontrare difficoltà legate a barriere linguistiche o differenze di fuso orario.

Se hai bisogno di assistenza e supporto nell’adempimento degli obblighi previsti dalla disciplina NIS clicca qui

Le Linee Guida perseguono una duplice finalità: da una parte, garantire la certezza del diritto e la prevedibilità del quadro normativo applicabile ai fornitori di servizi intermediari ai sensi del DSA e; dall’altra, salvaguardare i diritti e le libertà delle persone fisiche con particolare riguardo al diritto alla protezione dei dati personali, sancito dall'art. 8 della Carta dei Diritti Fondamentali dell'Unione Europea e dall'art. 16 del Trattato sul Funzionamento dell'Unione Europea (“TFUE”).

In via preliminare, l’EDPB chiarisce che il DSA non deroga né prevale sul GDPR, non configurandosi quale lex specialis ai sensi dell’art. 2(4) del DSA. In conformità alla consolidata giurisprudenza della Corte di Giustizia dell'Unione Europea, i due regolamenti devono essere interpretati e applicati in modo da garantirne la reciproca compatibilità e coerenza sistemica, costituendo due atti giuridici di pari rango gerarchico.

Rimozione di contenuti illegali

L’EDPB entra quindi nel merito affrontando innanzitutto il regime giuridico applicabile alle attività di indagine volontaria (voluntary own-initiative investigations) finalizzate all'individuazione e rimozione di contenuti illegali, poste in essere dai fornitori di servizi intermediari ai sensi dell'art. 7 del DSA. In relazione al trattamento di dati personali connesso allo svolgimento di questa attività, le Linee Guida individuano nell'art. 6(1)(f) del GDPR (e cioè nel legittimo interesse del titolare del trattamento o di terzi) la base giuridica del trattamento (almeno nella generalità dei casi). L'EDPB precisa, tuttavia, che spetta al fornitore di servizi intermediari dimostrare la sussistenza delle condizioni che legittimano il ricorso al legittimo interesse, segnatamente: la legittimità dell'interesse perseguito, la necessità del trattamento per il conseguimento di tale interesse e la prevalenza dello stesso rispetto ai diritti e alle libertà dell'interessato. Questa valutazione deve essere documentata attraverso un Legitimate Interest Assessment (LIA) che fornisca evidenza del bilanciamento effettuato dal titolare tra gli interessi contrapposti, conformemente ai principi di necessità e proporzionalità. Va da sé che qualora la rimozione dei contenuti non derivi dall'esercizio di facoltà discrezionali del fornitore di servizi intermediari ma costituisca adempimento di un obbligo di legge, la base giuridica del trattamento è quella prevista dall'art. 6(1)(c) del GDPR (e cioè adempimento di obblighi di legge). 

Meccanismi di notice and action

Le Linee Guida esaminano, poi, le implicazioni dei meccanismi di notifica e azione (notice and action) di cui agli artt. 16 e 17 del DSA, con particolare riguardo al trattamento dei dati personali del soggetto segnalante (notifier) e del destinatario del servizio interessato dal provvedimento restrittivo. Con riguardo al trattamento dei dati del segnalante, l'EDPB stabilisce che i fornitori di servizi di hosting devono applicare il principio di minimizzazione di cui all'art. 5(1)(c) del GDPR, limitando la raccolta alle sole informazioni strettamente necessarie per l'espletamento della procedura (segnatamente le generalità e l’indirizzo e-mail del segnalante). Il meccanismo di notifica deve in particolare essere configurato in modo tale da consentire (ma senza imporre obbligatoriamente) l'identificazione del soggetto segnalante, fatta salva l'ipotesi in cui tale identificazione risulti indispensabile per la valutazione dell'illegittimità del contenuto oggetto di segnalazione. Quanto alla comunicazione dell'identità del segnalante al destinatario del servizio, l'art. 17(3)(b) del DSA prescrive che tale comunicazione possa avvenire esclusivamente se strettamente necessaria per l'esercizio dei diritti di difesa. In tal caso, il fornitore dei servizi intermediari è tenuto ad adempiere preventivamente agli obblighi informativi di cui all'art. 13 del GDPR nei confronti del segnalante, specificando le finalità e la base giuridica della comunicazione a terzi dei suoi dati personali.

Processi decisionali automatizzati

L'EDPB rileva poi che le determinazioni relative alla rimozione di contenuti possono configurare, ricorrendone i presupposti, un processo decisionale automatizzato ai sensi dell'art. 22 del GDPR. Qualora tale processo si svolga in assenza di intervento umano, trovano applicazione le condizioni, i requisiti e gli obblighi previsti dall’art. 22 del GDPR, compresi il diritto dell'interessato di ottenere l'intervento umano, esprimere la propria opinione e contestare la decisione assunta, nonché l'obbligo per il titolare di attuare misure appropriate per tutelare i diritti e le libertà dell'interessato.

Reclami e sospensione

Con riguardo alle disposizioni di cui agli artt. 20 e 23 del DSA, relative rispettivamente ai meccanismi interni di gestione dei reclami (internal complaint-handling systems) e i provvedimenti di sospensione per utilizzo manifestamente illegale o abusivo dei servizi offerti attraverso le piattaforme online, l'EDPB chiarisce che l'operatività di tali strumenti procedurali lascia impregiudicato l'esercizio dei diritti e l'esperimento dei rimedi riconosciuti agli interessati dal GDPR. Le Linee Guida evidenziano, inoltre, la necessità inderogabile di conformarsi ai principi generali sanciti dall'art. 5 del GDPR e, in particolare, ai principi di minimizzazione dei dati, esattezza, trasparenza e limitazione della conservazione. I fornitori di piattaforme online sono pertanto tenuti a garantire che le attività di trattamento effettuate nell'ambito delle procedure di reclamo e sospensione rispettino integralmente tali principi, documentando adeguatamente le misure tecniche e organizzative adottate a tal fine. Con specifico riferimento all'art. 23 del DSA, l'EDPB specifica che l'adozione di misure sospensive nei confronti di un destinatario del servizio non può in alcun modo compromettere o limitare l'esercizio dei diritti riconosciuti dal GDPR. In particolare, rimane pienamente azionabile il diritto alla portabilità dei dati di cui all'art. 20 del GDPR, atteso che il fornitore della piattaforma online mantiene la qualifica di titolare e continua a trattare i dati personali dell'interessato anche durante il periodo di vigenza della sospensione. 

Dark patterns

Un ulteriore profilo di particolare rilevanza concerne la disciplina dei modelli di progettazione ingannevoli (deceptive design patterns o dark patterns). L'art. 25 del DSA introduce un divieto generale per i fornitori di piattaforme online e di motori di ricerca online di progettare, organizzare o gestire le proprie interfacce online in modo tale da ingannare o manipolare i destinatari dei loro servizi, ovvero da compromettere o limitare in misura sostanziale la capacità degli stessi di assumere decisioni libere e informate. A questo riguardo, le Linee Guida delineano con precisione i criteri sulla base dei quali trovi applicazione il regime sanzionatorio previsto dal DSA ovvero quello previsto dal GDPR, stabilendo che una pratica di progettazione ingannevole ricade nell'ambito di applicazione del GDPR, con conseguente attribuzione della competenza sulla vigilanza e sulle sanzioni alle autorità per la protezione dei dati personali, qualora sussistano cumulativamente i seguenti presupposti: (i) la pratica in questione comporti il trattamento di dati personali e; (ii) il comportamento dell'utente che il modello di progettazione intende influenzare, manipolare o compromettere riguardi specificamente decisioni relative al trattamento dei propri dati personali. Tale seconda condizione ricorre tipicamente nelle ipotesi in cui l'interfaccia ingannevole sia finalizzata a indurre l'interessato a fornire dati personali ulteriori rispetto a quelli necessari per l'erogazione del servizio, ovvero a prestare un consenso al trattamento non genuinamente libero e informato.

Pubblicità online e profilazione

Merita particolare attenzione anche l'interpretazione fornita dall'EDPB in ordine alla portata applicativa dell'art. 26(3) del DSA, che vieta la presentazione di pubblicità basata su profilazione realizzata mediante l'utilizzo di categorie particolari di dati personali di cui all’art. 9(1) del GDPR. L'EDPB sottolinea che tale disposizione introduce un divieto assoluto e incondizionato che opera ancora una volta in via complementare rispetto al regime del GDPR, precludendo tale attività di trattamento anche in presenza del consenso esplicito dell'interessato ex articolo 9(2)(a) del GDPR.

Sistemi di raccomandazione dei contenuti

Con riferimento alla disciplina dei sistemi di raccomandazione, l'EDPB fornisce un'interpretazione qualificatoria di particolare rilievo, stabilendo che la presentazione di contenuti personalizzati agli utenti mediante algoritmi di raccomandazione integra profilazione ai sensi dell'articolo 4(4) del GDPR. Le Linee Guida evidenziano inoltre che la presentazione algoritmica di contenuti specifici può costituire una “decisione che incide in modo analogo significativo” sull'interessato ai sensi dell'articolo 22(1) del GDPR. Questa qualificazione trova applicazione segnatamente nelle ipotesi in cui i contenuti raccomandati possano produrre conseguenze significative per gli individui, quali effetti economici o sociali rilevanti, ovvero influenzare in modo duraturo o permanente le loro scelte comportamentali. Per le piattaforme online di dimensioni molto grandi ("VLOPs") e i motori di ricerca online di dimensioni molto grandi ("VLOSEs"), l'art. 38 del DSA impone l'obbligo di fornire almeno un sistema di raccomandazione non basato sulla profilazione. L'esercizio di tale opzione da parte dell'utente comporta il divieto assoluto per i VLOPs e VLOSEs di procedere alla raccolta e al trattamento dei dati personali dell’utente medesimo per finalità di profilazione.

Tutela dei minori

Anche per quanto riguarda la tutela dei minori, le Linee Guida riaffermano l'applicabilità integrale dei principi fondamentali sanciti dal GDPR, con particolare riguardo all'implementazione dei sistemi di verifica e accertamento dell'età (age assurance mechanisms). L'EDPB sottolinea che tali meccanismi devono essere progettati e implementati nel rispetto dei principi di necessità, minimizzazione, proporzionalità e protezione dei dati fin dalla progettazione (privacy by design) di cui all'art. 25 del GDPR. In concreto, le Linee Guida consigliano l’adozione di quei sistemi che non comportino l'identificazione univoca degli utenti né la conservazione permanente dei dati relativi all'età o alla fascia d'età degli interessati.

Rischi sistemici

Con riguardo alla gestione dei rischi sistemici, gli artt. 34 e 35 del DSA introducono per i fornitori di VLOPs e VLOSEs obblighi specifici di valutazione e mitigazione che presentano significative interconnessioni con il quadro normativo in materia di protezione dei dati personali. Le Linee Guida chiariscono che, allorquando vengano identificati rischi sistemici concernenti i diritti fondamentali di protezione dei dati personali che non siano limitati a singoli utenti, l'effettuazione di una valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR risulterà con ogni probabilità necessaria.

Cooperazione tra autorità

Infine, l’EDPB conclude la sua analisi con alcune indicazioni generali in materia di governance e di enforcement del quadro normativo integrato DSA-GDPR. In applicazione del principio di leale cooperazione di cui all'articolo 4(3) del TFUE, le Linee Guida stabiliscono l'obbligo per le autorità competenti per l'applicazione del DSA e le autorità per la protezione dei dati Personali di istituire meccanismi strutturati di consultazione e cooperazione reciproca nelle materie di competenza concorrente, anche per la promulgazione di appositi codici di condotta. Nell'ordinamento italiano, tale modello cooperativo ha trovato già parziale applicazione mediante strumenti di coordinamento quali il Protocollo d'Intesa sottoscritto in data 12 aprile 2023 tra l'Autorità per le Garanzie nelle Comunicazioni e il Garante per la Protezione dei Dati Personali, nonché tramite l'istituzione di tavoli tecnici congiunti permanenti.

Il 17 settembre 2025, il Senato, con 77 voti favorevoli, 55 contrari e 2 astenuti, ha approvato in via definitiva la legge sull'intelligenza artificiale (di seguito, la “Legge”).

L'Italia diventa, dunque, il primo Paese dell’UE a integrare la disciplina dettata dall’AI Act con una normativa nazionale in materia di intelligenza artificiale. L’obiettivo del legislatore nazionale è quello di rafforzare ulteriormente il livello di tutela dai rischi connessi all’impiego dell’intelligenza artificiale in taluni ambiti e settori. 

La struttura della Legge

La Legge si compone di 28 articoli suddivisi in sei capi.

Il Capo I, di stampo programmatico, stabilisce i principi da rispettare e le finalità che l'intelligenza artificiale dovrebbe soddisfare.

Il Capo II detta disposizioni specifiche in relazione all’impiego di sistemi di intelligenza artificiale in determinati settori come il settore sanitario, la ricerca scientifica, il mondo del lavoro, le professioni intellettuali, la pubblica amministrazione e l’amministrazione della giustizia.

Il Capo III stabilisce le modalità per la redazione e l'aggiornamento della strategia nazionale per l'intelligenza artificiale, che dovrà favorire le collaborazioni pubblico-privato e promuovere ricerca e formazione.

Il Capo IV è dedicato alla tutela del diritto d’autore e il Capo V alla tutela penale.

Infine, il Capo VI contiene le disposizioni finanziarie e finali.

Le autorità competenti

Con l’approvazione della Legge, sono state ufficialmente individuate quali autorità nazionali competenti in materia di intelligenza artificiale l’Agenzia per l’Italia Digitale (AgID) e l’Agenza per la Cybersicurezza Nazionale (ACN).

L’AgID, in qualità di autorità di notifica, provvederà a definire le procedure e a esercitare le funzioni e i compiti in materia di notifica, valutazione, accreditamento e monitoraggio dei soggetti incaricati di verificare la conformità dei sistemi di intelligenza artificiale ad alto rischio.

Mentre l’ACN, in qualità di autorità di vigilanza, sarà responsabile per la vigilanza sui sistemi di intelligenza artificiale, con poteri ispettivi e sanzionatori.

Entrambe le autorità contibuiranno, inoltre, alla definizione e all’aggiornamento della strategia nazionale per l’intelligenza artificiale d’intesa con il Dipartimento per la trasformazione digitale.

Inoltre, presso la Presidenza del Consiglio, vengono istituiti:

• il Comitato di Coordinamento delle attività di indirizzo, con funzioni di coordinamento dell'azione di indirizzo e promozione delle attività di ricerca, sperimentazione, sviluppo, adozione e applicazione di sistemi e modelli di intelligenza artificiale;

• il Comitato di coordinamento tra le autorità, con il compito di assicurare il coordinamento e la collaborazione tra autorità nazionali competenti, le altre pubbliche amministrazioni e autorità indipendenti.

Le principali novità settore per settore

Sanità e ricerca. L'art. 8 della Legge autorizza l'uso secondario di dati personali (anche appartenenti a categorie particolari) per finalità di ricerca, purché privi di elementi identificativi e fermo restando l’obbligo di informativa verso l’interessato. L'utilizzo dell'intelligenza artificiale in ambito sanitario sarà consentito come supporto ai processi di prevenzione, diagnosi, cura e trattamento, a condizione che la decisione finale resti in capo al medico.

Lavoro. Viene istituito un osservatorio ministeriale sull'intelligenza artificiale per monitorare rischi e le opportunità dell'intelligenza artificiale nel mondo del lavoro. Si vieta ogni valutazione automatizzata delle performance dei lavoratori senza possibilità di contestazione, mentre ai datori di lavoro viene fatto obbligo di informare e formare il personale sull'uso degli strumenti tecnologici.

Professioni intellettuali. L'art. 13 della Legge limita l'utilizzo di sistemi di intelligenza artificiale nelle professioni intellettuali alle sole attività strumentali e di supporto all'attività professionale, con prevalenza del lavoro intellettuale oggetto della prestazione d'opera. Inoltre, i professionisti sono tenuti a comunicare al cliente le informazioni relative ai sistemi di intelligenza artificiale utilizzati con un linguaggio chiaro, semplice ed esaustivo.

Giustizia. L'art. 15 della Legge vieta l'uso di sistemi di intelligenza artificiale per l’adozione di decisioni giudiziarie in maniera automatizzata; potranno invece essere impiegati per l’analisi e il supporto alla redazione degli atti, ferma restando la responsabilità dei magistrati.

Come cambia il codice penale

Il Capo V introduce talune modifiche al codice penale. In particolare, la Legge introduce una nuova fattispecie di reato e una nuova circostanza aggravante comune.

La nuova figura delittuosa, che trova collocazione all’art. 612-quater c.p., punisce la diffusione di contenuti falsificati, idonei aeh trarre in inganno (i cd. deep fake), tramite sistemi di intelligenza artificiale.

D’altro lato, la Legge allestisce un articolato sistema di aggravanti, il cui fulcro è l'introduzione di una circostanza aggravante comune all’art. 61, n. 11-decies c.p, che dispone un aumento di pena nel caso in cui l’uso di un sistema di intelligenza artificiale costituisca mezzo insidioso per facilitare il reato, ostacolare la difesa o aggravare le sue conseguenze.

L’attuazione della Legge

Per l’entrata in vigore della Legge non resta che attendere la promulgazione da parte del Presidente della Repubblica e la relativa pubblicazione sulla Gazzetta Ufficiale, da cui decorreranno i 15 giorni di vacatio legis.

In ogni caso, una volta che la Legge sarà entrata in vigore, spetterà al Governo completare la disciplina attraverso l’adozione, entro dodici mesi, di uno o più decreti legislativi. Questi regoleranno aspetti di particolare rilevanza, tra cui:

• la definizione una disciplina organica relativa all'utilizzo di dati, algoritmi e metodi matematici per l'addestramento di sistemi di intelligenza artificiale;

• l’attribuzione alle autorità competenti dei poteri di vigilanza, ispettivi, sanzionatori e gli altri poteri amministrativi previsti dall’AI Act;

• la disciplina delle misure per l'aggiornamento della normativa vigente sui servizi bancari, finanziari, assicurativi e di pagamento;

• la definizione di regole in materia di responsabilità civile per i danni derivati dall’utilizzo dell'intelligenza artificiale;

• la definizione dei criteri di imputazione della responsabilità penale delle persone fisiche e della responsabilità amministrativa degli enti, tenendo conto del livello effettivo di controllo sui sistemi.

Le questioni ancora aperte

Restano nel testo della Legge approvato in via definitiva dal Senato alcune criticità evidenziate durante l'iter parlamentare. 

In particolare, nel suo parere circostanziato C(2024)7814, la Commissione aveva “bocciato” la prima bozza della Legge per tre ordini di motivi:

1. le definizioni non possono distaccarsi da quelle utilizzate nell’AI Act;

2. i settori sanitario, delle professioni intellettuali e dell’amministrazione giudiziaria rischiano di essere soggetti a obblighi eccessivi;

3. AgID e ACN sono autorità governative e, per questo, non assicurano piena indipendenza.

Mentre il primo rilievo era già stato risolto attraverso il rinvio alle definizioni dell’AI Act, le altre due aree di potenziale incompatibilità con la normativa europea non risultano essere state affrontate.

La sfida è ora

L'approvazione definitiva della Legge rappresenta un traguardo importante per l'Italia, che dà il passo agli altri paesi europei con riguardo all’intelligenza artificiale. Ma la vera sfida inizia ora con l'attuazione della normativa.

Il successo della Legge, infatti, dipenderà in larga misura dalla qualità dei decreti legislativi che il Governo dovrà adottare entro il prossimo anno; un banco di prova cruciale per tradurre gli obiettivi programmatici in regole operative che possano adeguatamente bilanciare le esigenze degli operatori, il progresso tecnologico e la tutela di diritti e libertà fondamentali.

L'intelligenza artificiale (AI) sta rapidamente trasformando tutti i settori economici, ma pone anche nuove sfide giuridiche complesse: dalla privacy al diritto d’autore ma anche sul fronte della responsabilità penale e delle tutele contro gli usi illeciti. Dopo la recente introduzione nel panorama europeo del Regolamento UE 2024/1689 (AI Act), il recente Disegno di Legge sull’Intelligenza Artificiale (DDL AI) rappresenta il primo tentativo organico del Legislatore italiano di disciplinare le implicazioni penalistiche di queste tecnologie, introducendo nuovi reati e aggravanti specifiche. Tuttavia, emergono profili critici e lacune normative, soprattutto riguardo alla responsabilità degli enti giuridici e alla coerenza del quadro sanzionatorio. Questo articolo mira ad analizzare le principali novità del DDL AI, le sue ricadute pratiche e le prospettive future, offrendo un punto di vista di supporto per stakeholder interessati a comprendere come meglio prepararsi a un contesto normativo ancora in evoluzione dopo l’implementazione dei primi adempimenti relativi all’AI Act. 

***

Il diritto penale vive una perenne tensione tra la sua necessaria stabilità, presidio delle libertà fondamentali, e la spinta a inseguire un divenire tecnologico e sociale che ne erode costantemente i confini. 

In questo scenario si colloca il DDL AI, nel testo approvato dal Senato e successivamente emendato dalla Camera, il quale, al netto dei tempi incerti di approvazione parlamentare, merita un’analisi puntuale, scevra da facili entusiasmi o aprioristiche critiche. 

Siamo quantomeno al cospetto del primo tentativo del Legislatore nazionale di dare forma giuridica a un fenomeno che rischia, altrimenti, di travolgere categorie e principi consolidati.

Il presente contributo si prefigge di analizzare, in via preliminare, le principali innovazioni di natura penalistica e di delinearne le potenziali ricadute sistemiche sul microsistema della responsabilità degli enti, la cui tenuta dogmatica è sempre più minacciata dall’avvento di agenti decisionali non umani.

1. Le modifiche al Codice Penale

L’architettura sanzionatoria ipotizzata dal DDL si muoverebbe lungo una duplice direttrice codicistica: da un lato, la creazione di una nuova fattispecie incriminatrice; dall’altro, l’introduzione di una circostanza aggravante comune.

1.1. Il Delitto di Illecita Diffusione di Contenuti Manipolati

La nuova figura delittuosa, destinata a trovare collocazione nel corpo del codice all'art. 612-quater, punirebbe la diffusione di contenuti falsificati tramite sistemi di IA, idonei a trarre in inganno. 

Di particolare interesse risulterebbe la scelta di strutturare il reato attorno al dolo specifico del cagionare un "danno ingiusto", opzione che, se per un verso disvela l’intenzione del Legislatore di procedere ad una delimitazione del disvalore penale delle condotte, dall’altro affiderà agli interpreti un non agevole compito di esegesi.

Non meno rilevante appare la disciplina della procedibilità. Il Legislatore opterebbe per un regime differenziato: la regola generale sarebbe quella della procedibilità a querela della persona offesa. 

Tale scelta, se da un lato affida alla vittima la valutazione circa l'opportunità di attivare la pretesa punitiva, dall'altro potrebbe depotenziare la tutela in contesti in cui la persona offesa si trovi in una posizione di debolezza o soggezione. A temperare tale impostazione interverrebbero, tuttavia, due eccezioni per casi particolarmente sensibili che renderebbero il delitto procedibile d'ufficio: qualora il fatto sia connesso con un altro delitto procedibile d'ufficio, o se commesso nei confronti di persona incapace o di una pubblica autorità a causa delle funzioni esercitate.

1.2. L'Aggravante Comune: l'AI come Possibile Indice di Accresciuto Disvalore Penale

Di impatto sistemico ancora maggiore apparirebbe l'introduzione di una circostanza aggravante comune all'art. 61, n. 11-decies c.p: detta norma prevederebbe un aumento di pena nel caso in cui l’uso di un sistema di AI costituisca mezzo insidioso per facilitare il reato, ostacolare la difesa o aggravare le sue conseguenze. Questa norma riconosce l’oggettiva pericolosità legata all’impiego dell’intelligenza artificiale come amplificatore d’offesa.

In altre parole, l'inasprimento della pena sarebbe subordinato alla valutazione che l'impiego del sistema di AI abbia costituito "mezzo insidioso", ovvero abbia "ostacolato la pubblica o la privata difesa" o "aggravato le conseguenze del reato", connotando in senso prevalentemente oggettivo – con tutte le conseguenze sistemiche che ne deriverebbero – l’aggravante in parola. 

Si tratterebbe, in definitiva, di una qualificazione normativa di un'accresciuta pericolosità della condotta, legata alla sua capacità di amplificare l'offesa o di indebolire le difese della vittima.

2. La pretermissione della responsabilità dell’Ente 

Ad una prima lettura del testo normativo, sembrerebbe emergere una significativa lacuna: la nuova fattispecie di cui all'art. 612-quater c.p. non risulta, allo stato, esplicitamente inclusa nel catalogo dei reati presupposto della responsabilità degli enti. 

Tale assenza solleva un interrogativo ineludibile: dimenticanza o scelta consapevole del Legislatore? Se fosse una scelta, essa genererebbe un vuoto normativo non ignorabile, se si considera quanto i fenomeni di manipolazione digitale possano concretamente interessare la criminalità d’impresa.

Senza in questa sede addentrarsi nella complessa esegesi dei rapporti – in termini di potenziale concorso formale ovvero apparente – tra la nuova figura delittuosa e le fattispecie già vigenti, segnatamente quelle a presidio dei mercati regolamentati, è tuttavia possibile, in mera e approssimativa esemplificazione, ipotizzare alcuni scenari la cui plausibilità renderebbe evidente della lacuna normativa.

Si potrebbe, ad esempio, immaginare la diffusione di un video artefatto in cui l'amministratore delegato di una società quotata annuncia un inesistente profit warning, al solo fine di provocare un crollo del titolo e consentire operazioni speculative al ribasso. 

Né meno plausibile apparirebbe, specie in contesti non regolamentati come quello delle cripto-attività, la creazione di un deepfake di un noto influencer che elogia una valuta digitale a bassa capitalizzazione, al fine di orchestrarne un pump-and-dump a danno di piccoli investitori. 

Allo stesso modo, la fattispecie potrebbe trovare applicazione in contesti di concorrenza sleale, ove un ente diffondesse un audio, generato artificialmente ma del tutto realistico, di una conversazione in cui i vertici di un'impresa concorrente sembrano ammettere pratiche illegali, al fine di sabotarne la reputazione.

3. Diritto d'Autore nell'Era dell'IA Generativa e l'Automatica Espansione della Responsabilità 231

Di converso, un'analisi sistematica del DDL AI rivela un esito opposto per quanto concerne le nuove tutele in materia di diritto d'autore. 

L'art. 26, comma 3, del testo modificherebbe l'art. 171 della Legge n. 633/1941, introducendo la nuova lettera a-ter), che punirebbe la riproduzione o l'estrazione di testi o dati in violazione delle nuove norme sul text and data mining .

Qui la conseguenza sul piano della responsabilità dell'ente appare diametralmente diversa. 

Poiché l'art. 25-novies del D.Lgs. 231/2001 già richiama, tra i reati presupposto, le violazioni previste dall'art. 171 della legge sul diritto d'autore, la nuova fattispecie vi rientrerebbe automaticamente, in forza del rinvio operato dalla norma.

Si paleserebbe, dunque, una asimmetria sanzionatoria: un ente potrebbe essere chiamato a rispondere ex D.Lgs. 231/2001 per aver addestrato il proprio sistema di IA con dati protetti da copyright in modo illecito, ma potrebbe non rispondere ai sensi del medesimo decreto per aver utilizzato quello stesso sistema al fine di creare e diffondere un deepfake dannoso per un concorrente. 

Tale trattamento differenziato interroga la coerenza del legislatore e meriterebbe un'attenta riflessione nel prosieguo dei lavori parlamentari.

4. Le Deleghe al Governo

A rendere il quadro ancor più complesso e fluido interviene l'ampia delega che l'art. 24 del DDL AI conferirebbe al Governo per "adeguare e specificare la disciplina dei casi di realizzazione e di impiego illeciti di sistemi di intelligenza artificiale".

I principi e criteri direttivi delineati dal comma 5 appaiono di portata quantomai vasta e potenzialmente idonei a ridisegnare interi settori del diritto penale e processuale.

Il Governo verrebbe infatti delegato a: 

• precisare i criteri di imputazione della responsabilità penale delle persone fisiche e amministrativa degli enti, tenendo conto del "livello effettivo di controllo dei sistemi";

• introdurre autonome fattispecie di reato, anche colpose, per l'omessa adozione di misure di sicurezza; 

• regolare l'utilizzo dell'IA nelle indagini preliminari ; e, infine, 

• modificare la normativa sostanziale e processuale vigente a fini di coordinamento. 

Una delega di eccezionale ampiezza, che di fatto posticipa a una futura decretazione legislativa la definizione di nodi dogmatici centrali. 

La disciplina penale dell'AI si configura, dunque, non come un punto d'arrivo, ma come un cantiere aperto, la cui architettura definitiva dipenderà in larga misura dalle scelte che verranno operate in sede governativa.

Considerazioni Conclusive

Il Disegno di Legge sull’Intelligenza Artificiale, nella sua attuale formulazione, si presenta come il primo, organico tentativo del legislatore nazionale di governare un fenomeno tecnologico dalle pervasive implicazioni penalistiche. 

L'analisi del testo, tuttavia, rivela non solo l'intento di approntare nuove difese, ma anche profili di criticità, possibili disarmonie e un ampio ricorso allo strumento della delega legislativa, che rimette a un momento successivo la definizione di aspetti cruciali della materia, che, probabilmente, dovrebbero conoscere un diverso approfondimento nell’economia di un iter legislativo ordinario. 

Emerge, allo stato, la potenziale lacuna derivante dalla mancata inclusione del nuovo delitto di illecita diffusione di contenuti manipolati nel catalogo dei reati presupposto; mancanza che dischiude interrogativi sulla piena consapevolezza delle implicazioni criminologiche della fattispecie nelle dinamiche dell’organizzazione economica. 

Sarebbe pertanto auspicabile un intervento più attento a intercettare la reale portata offensiva dei fenomeni, attraverso un'opera di tipizzazione delle fattispecie più rigorosa e meditata. 

Un compito, questo, che necessariamente dovrà attingere a nozioni metagiuridiche, poiché non è possibile incriminare efficacemente ciò che non si comprende a fondo nelle sue implicazioni tecniche e operative. 

Proprio in questo risiede, in definitiva, la tensione che attraverserà sempre di più il diritto penale del futuro: il difficoltoso, costante, affinamento delle categorie normative -se non, addirittura, dogmatiche - a fronte dell'incessante e convulsa accelerazione del progresso tecnologico.

¹ Cfr. Cass. Pen., Sez. Unite, 24 aprile 2014, n. 38343 (ThyssenKrupp), che ha consolidato il concetto di "colpa di organizzazione" come fondamento della responsabilità dell'ente. Sul punto, per una riflessione critica, A. ALESSANDRI, Diritto penale e attività economiche, il Mulino, 2018.

² Per un'analisi della nozione di "interesse o vantaggio" dell'ente, si veda Cass. Pen., Sez. Unite, 30 gennaio 2014, n. 10561 (Espenhahn).

³ Sul tema della soggettività penale degli agenti artificiali, si vedano, tra gli altri, G. L. GATTA, "Intelligenza artificiale e diritto penale: un primo quadro d'insieme", in Diritto Penale Contemporaneo, Fasc. 3/2023, e F. MANTOVANI, "Machina Sapiens. L'intelligenza artificiale e la sfida al diritto penale", in Rivista Italiana di Diritto e Procedura Penale, 2021.

⁴ Sulle problematiche legate al text and data mining e al diritto d'autore, si veda M. R. MARELLA, "Diritto d'autore e intelligenza artificiale. Note a margine dell'AI Act", in Diritto dell'informazione e dell'informatica, 2023.

⁵ Per una visione d'insieme sulle sfide poste dalla tecnologia al diritto penale, si rinvia a E. MUSCO, I nuovi orizzonti del diritto penale dell'economia, Giuffrè, 2022.

I numeri chiave del 2024: un anno di sfide e interventi

La relazione sottolinea con chiarezza quanto il panorama della protezione dei dati sia diventato complesso e interconnesso:

• 2.204 data breach segnalati tra settore pubblico e privato, un dato che testimonia la crescente esposizione ai rischi e l’esigenza di un approccio rigoroso e proattivo da parte di tutti gli attori, anche alla luce dell’intensificarsi delle sanzioni nei casi più gravi da parte del Garante1.
• 130 ispezioni condotte, con focus su ambiti altamente innovativi: sistemi di identità digitale (SPID), riconoscimento facciale, videosorveglianza e applicazioni di intelligenza artificiale. Questi controlli pongono in rilievo come la sfida della privacy sia sempre più intrecciata con i temi dell’innovazione tecnologica e della cybersecurity.
• 835 provvedimenti collegiali adottati, di cui 468 di natura correttiva e sanzionatoria: un segnale forte della crescente attenzione sia repressiva che preventiva dell’Autorità nei confronti delle violazioni e delle criticità più rilevanti. I pagamenti derivanti dall'attività sanzionatoria sono corrisposti a Euro 24.430.856,45
• Oltre 16.000 quesiti gestiti dall’Autorità, segno di un interesse sempre più diffuso e concreto nei confronti della materia e della necessità di una comunicazione trasparente e autorevole a beneficio di cittadini e imprese.

Privacy e intelligenza artificiale: bilanci e prospettive

Nel 2024 l’Autorità ha puntato i riflettori sulle profonde implicazioni dell’adozione dell’intelligenza artificiale nei settori chiave: dalla sanità digitale all’age verification, passando per la gestione delle identità digitali e i rischi connessi al web scraping per l’addestramento degli algoritmi. Il dialogo tra evoluzione tecnologica e diritto si fa sempre più stringente, portando il Garante a ribadire la necessità di una regolazione rigorosa e aggiornata rispetto ai nuovi scenari digitali.

Le attività ispettive e i provvedimenti hanno interessato anche la delicata questione delle decisioni automatizzate e della profilazione, così come la cybersicurezza delle infrastrutture pubbliche e private. La Relazione richiama tutti i responsabili dei dati a mantenere un alto livello di consapevolezza e responsabilità in tema di sicurezza tecnica e organizzativa.

Cultura della conformità: diritti e fiducia al centro

Il bilancio tracciato dal Garante è chiaro: la cultura della conformità normativa e della sicurezza dei dati non è più solo un adempimento. È una garanzia per la tutela dei diritti fondamentali delle persone e un pilastro imprescindibile per la fiducia digitale nella società e nel mercato.

Viene rinnovato l’invito a tutti gli operatori—pubblici e privati—a investire in formazione, aggiornamento costante dei processi e trasparenza, per rafforzare un ecosistema digitale che tuteli la dignità, la libertà e la sicurezza di ciascun individuo.

In conclusione, la Relazione annuale 2024 del Garante Privacy fotografa un Paese in cui la protezione dei dati personali non è più solo un tema tecnico, ma una vera e propria questione sociale, giuridica ed etica. Dalla gestione dei data breach all’innovazione della AI, la sfida è quotidiana e chiede a tutti i protagonisti di essere all’altezza, costruendo insieme un futuro digitale più sicuro, inclusivo e trasparente.

Qui la relazione completa

Qui il discorso del Presidente Pasquale Stanzione

Nel provvedimento in esame, il Garante ha ribadito che i metadati generati dai sistemi di gestione della posta elettronica e i log di navigazione Internet sono dati personali e che la loro raccolta generalizzata, in quanto consente il controllo a distanza dell'attività lavorativa, impone al datore di lavoro, ricorrendo determinate circostanze, di esperire le procedure previste dall'articolo 4(1) dello Statuto dei lavoratori. 

Il Documento di indirizzo del Garante del 6 giugno 2024 aveva del resto già cristallizzato questo orientamento, precisando che i metadati generati dai sistemi di gestione della posta elettronica dei dipendenti possono essere conservati per periodo limitati, di regola non superiori a 21 giorni. In caso di conservazione oltre i 21 giorni, è necessario – secondo il Garante – esperire le procedure previste dall'articolo 4(1) dello Statuto dei lavoratori. Ciò a meno che il titolare non sia in grado di dimostrare la sussistenza in concreto di particolari ragioni di natura tecnica o organizzativa (connesse ad esempio alla sicurezza informatica del servizio di posta elettronica) che rendano necessaria l’estensione della conservazione oltre i 21 giorni. 

Tali ragioni non sono state rinvenute nel caso di specie.

La Regione, peraltro, mediante tre fornitori esterni, era in grado di combinare indirizzi IP, indirizzi MAC e identità dei dipendenti, avendo così piena disponibilità di informazioni che consentivano una potenziale profilazione e un controllo individuale dei dipendenti. Il Garante ha giudicato sproporzionato e eccedente i principi di minimizzazione e limitazione della conservazione tale trattamento e ha imposto, tra l'altro, l'anonimizzazione dei tentativi di accesso ai siti web blacklistati, la riduzione della conservazione dei log di navigazione Internet da 365 a 90 giorni (con possibilità di conservazione oltre tale termine solo previa anonimizzazione dei dati), la limitazione degli accessi ai dati al solo personale espressamente autorizzato e la cifratura dei dati che permettono l'associazione tra dispositivo e dipendente.

Il Garante ha altresì chiarito che, in considerazione del fatto che il trattamento dei metadati generati dai sistemi di gestione della posta elettronica dei dipendenti comporta, almeno potenzialmente, "rischi elevati" per i diritti e le libertà degli interessati (in quanto comporta il monitoraggio sistematico di soggetti – i dipendenti – considerati vulnerabili in ragione della loro subordinazione al datore di lavoro), effettuare una DPIA è obbligatorio e non effettuarla configura una violazione dell'articolo 35 del GDPR.

L'orientamento del Garante è quindi chiaro: la conservazione dei metadati non dovrebbe eccedere i 21 giorni e conservarli oltre i 21 giorni, senza esperire le procedure previste dall’art. 4(1) dello Statuto dei Lavoratori, è legittimo solo in presenza di comprovate ragioni di natura tecnica connesse al funzionamento e alla sicurezza informatica del servizio (le quali in ogni caso non possono consistere in generiche ragioni connesse alla sicurezza informatica delle reti e dei sistemi informativi del datore di lavoro). Nel caso in cui tali ragioni non sussistano, è necessario, a seconda dei casi, raggiungere un accordo con le rappresentanze sindacali o ottenere l’autorizzazione del competente Ispettorato del Lavoro. In ogni caso è sempre necessario effettuare e documentare una DPIA e un Legitimate Impact Assessment (LIA), aggiornare le informative sul trattamento dei dati personali rilevanti e le policy e procedure interne e adottare adeguate misure tecniche e organizzative per garantire un livello adeguato di protezione ai dati personali trattati.

Se hai bisogno di assistenza e supporto nell’adempimento degli obblighi connessi alla raccolta e conservazione dei metadati generati dai sistemi di gestione della posta elettronica aziendale, rivolgiti ai tuoi professionisti di riferimento. 

Oltre alle disposizioni relative alle pratiche di AI vietate, è divenuto applicabile anche l’art. 4 che sancisce l’obbligo di assicurare che il personale e, in generale, le persone che utilizzano sistemi di intelligenza artificiale possiedano un “livello sufficiente di alfabetizzazione in materia di AI”. 

A differenza di altri obblighi previsti dall’AI Act, l’obbligo di cui all’art. 4 trova applicazione a prescindere dal livello di rischio che i sistemi di AI presentano e riguarda tanto i fornitori quanto i deployer.

Quale contenuto abbia nello specifico l’obbligo di AI literacy, l’AI Act tuttavia non lo dice.

Già l’AI Office, nell’ambito dell’AI Pact – l’iniziativa tesa a facilitare la compliance all’AI Act da parte delle organizzazioni aderenti – aveva fornito il suo contributo alla definizione dei contenuti dell’obbligo in questione attraverso l’istituzione del c.d. Living Repository (una raccolta delle best practice in materia di AI literacy adottate da organizzazioni di dimensioni diverse e operanti in diversi settori).

Ma i chiarimenti attesi sul contenuto dell’obbligo di AI literacy sono pervenuti soltanto il 12 maggio scorso, con la pubblicazione delle FAQ della Commissione Europea.

L’obbligo di AI literacy è già in vigore. Il primo, fondamentale, chiarimento fornito dalla Commissione è che l’obbligo di AI literacy è già applicabile (ma l’eventuale violazione potrà essere sanzionata soltanto a decorrere dal 2 agosto 2026). 

Tutte le organizzazioni che impiegano sistemi di AI, dunque, già devono definire e attuare programmi di AI literacy, comprese – come si premura di specificare la Commissione – le organizzazioni i cui dipendenti usano ChatGPT.

Il concetto di AI literacy. La Commissione ritorna, poi, sul concetto di AI literacy, richiamando la definizione di cui all’art. 3(56) dell’AI Act, ai sensi del quale per AI literacy si intende l’insieme delle competenze, conoscenze e consapevolezze necessarie per utilizzare i sistemi di sistemi di AI in modo informato, riconoscendone allo stesso tempo opportunità, rischi e potenziali pregiudizi.

Non solo dipendenti. Le FAQ ricordano che, come stabilito dall’art. 4 dell’AI Act, l’AI literacy non è richiesta soltanto con riguardo al personale dipendente ma con riguardo a tutte le persone – dipendenti e non – che si occupano per conto di fornitori e deployer del funzionamento e dell’utilizzo dei sistemi di AI. Oltre al personale dipendente, vi rientrano, sulla base delle indicazioni della Commissione, anche appaltatori, fornitori di servizi e clienti, nella misura in cui impieghino sistemi di AI forniti o comunque messi a disposizione dall’organizzazione. 

Sul piano contrattuale, sarà particolarmente importante per i deployer prevedere nei contratti con i fornitori di sistemi di AI un obbligo di assistenza nella definizione e attuazione dei programmi di AI literacy richiesti dall’art. 4 dell’AI Act.

Un obbligo “flessibile”. Non sono previsti né saranno previsti requisiti stringenti per i programmi di AI literacy. Ciò che conta è che il programma tenga conto dei seguenti quattro aspetti:

• assicurare una comprensione generale dell’AI (e cioè fornire ai destinatari del programma gli strumenti per comprendere cos’è l’AI, come funziona, come viene utilizzata all’interno dell’organizzazione e quali opportunità nonché quali rischi comporta);

• calibrare l’alfabetizzazione sul ruolo dell’organizzazione (e cioè considerare se l’organizzazione agisce quale fornitore o quale deployer);

• garantire la comprensione dei rischi e delle relative misure atte a mitigarli;

• personalizzare il programma, offrendo contenuti differenziati sulla base, da un lato, delle conoscenze tecniche, delle esperienze e del livello di istruzione e formazione dei destinatari e, dall’altro, del contesto in cui i sistemi di AI sono destinati ad essere utilizzati.

Le FAQ precisano che comunque non si può prescindere, nella definizione dei contenuti del programma, dagli aspetti etici e legali (l’AI Act dovrà perciò essere oggetto di formazione). 

Nessun requisito di forma è previsto. La Commissione suggerisce di prendere spunto dalle best practice del Living Repository. Tra queste si segnalano in particolare:

• differenziazione della formazione in base al ruolo (ad esempio, corsi di formazione generali a tutto il personale e corsi di formazione specifici per singole funzioni aziendali; formazione mirata su architetture algoritmiche, gestione del rischio e compliance normativa per il personale “tecnico” e formazione su concetti di base e casi pratici per il personale “non tecnico”; etc.);

• metodologia multicanale (ad esempio, piattaforme di e-learning, webinar, incontri in presenza, etc.);

• creazione di framework interni e toolbox (ad esempio, realizzazione di piattaforme per accompagnare i destinatari nell’uso responsabile dell’AI).

Non è neanche previsto un numero di ore minimo né è richiesto l’ottenimento di certificazioni. È però raccomandabile – sottolinea la Commissione – documentare l’erogazione delle attività formative e di ogni altra iniziativa rilevante attraverso un apposito registro interno.

Ovviamente non basta, per adempiere all’obbligo di cui all’art. 4 dell’AI Act, richiedere al personale di prendere visione delle istruzioni d’uso dei sistemi di AI impiegati dall’organizzazione. 

Se hai bisogno di assistenza e supporto nell’adempimento dell’obbligo di AI literacy, rivolgiti ai tuoi professionisti di riferimento.

Come navigare nel complesso framework normativo tra GDPR, NIS2, DORA, AI ACT, European Accessibility Act? Ne parliamo con Marco Cappa nella nostra nuova pillola.

Leggi qui l'approfondimento dedicato ai nuovi obblighi di accessibilità digitale

Fonti normative di riferimento

• Decreto Legislativo 82/2022: recepisce la Direttiva (UE) 2019/882 (European Accessibility Act), che introduce obblighi specifici per l’accessibilità di prodotti e servizi digitali anche nel settore privato.
• Legge 4/2004 e s.m.i. (Legge Stanca): prima disciplina sull’accessibilità digitale per le pubbliche amministrazioni.
• Legge 120/2020: ha esteso l’ambito soggettivo della Legge Stanca, includendo anche imprese private che erogano servizi essenziali di interesse generale tramite canali digitali.  

Soggetti obbligati

Gli obblighi di accessibilità si applicano a:

• Soggetti privati rientranti nella legge Stanca: si tratta di soggetti con un fatturato medio, negli ultimi tre anni di attività, superiore a 500 milioni di euro che offrono servizi essenziali fruibili da persone con disabilità attraverso siti web o attraverso applicazioni mobili (quali, ad esempio, fornitori di energia, banche, assicurazioni, compagnie di trasporto, servizi sanitari, servizi delle comunicazioni elettroniche, servizi di raccolta dei rifiuti, servizi di commercio elettronico, etc.).
• Operatori economici (fabbricanti, rappresentanti autorizzati, importatori, distributori e fornitori di servizi) che offrono servizi digitali e prodotti al pubblico.
  • In relazione ai servizi digitali, il d.lgs. 82/2022, si applica a:
    • servizi di comunicazione elettronica;
    • servizi che forniscono accesso a servizi di media audiovisivi;
    • servizi di trasporto passeggeri;
    • servizi bancari per consumatori;
    • libri elettronici; e
    • servizi di commercio elettronico.
  • In relazione ai prodotti, il d.lgs. 82/2022, si applica a:
    • sistemi hardware e sistemi operativi informatici (es., pc, notebook, smartphone, tablet, etc.);
    • terminali self-service di pagamento (es., sportelli automatici, macchine per l’emissione di biglietti, terminali per il check-in, etc.);
    • terminali con capacità informatiche interattive utilizzate per i servizi di comunicazione elettronica;
    • terminali per accedere a servizi di media audiovisivi; e
    • lettori di libri elettronici.

Vigilanza e sanzioni

La vigilanza sull’applicazione della normativa è affidata all’Agenzia per l’Italia Digitale (AgID) per quanto riguarda i servizi digitali e al Ministero delle Imprese e del Made in Italy (MIMiT) per quanto riguarda i prodotti. Tali autorità possono:

• Effettuare accertamenti e ispezioni;
• Emettere diffide con termine per la regolarizzazione;
• Applicare sanzioni pecuniarie:
  • Fino al 5% del fatturato medio annuo per violazioni gravi da parte dei soggetti privati, con fatturato superiore a 500 milioni di euro negli ultimi tre anni di attività, che rientrano nella Legge Stanca;
  • Da 5.000 a 40.000 euro per gli altri soggetti, valutando gravità, numero di utenti coinvolti e portata dei servizi non accessibili;
  • Da 2.500 a 30.000 euro per mancata ottemperanza alle diffide o ostacolo alle ispezioni.
• Adottare misure inibitorie, con forti impatti reputazionali, tra cui:
  • Oscuramento del sito web o rimozione dell’app dagli store digitali;
  • Divieto di accesso, temporaneo o definitivo, ai servizi digitali non conformi. 

Sintesi operativa

• Dal 28 giugno 2025, i prodotti e servizi digitali potranno essere immessi sul mercato solo rispettando i requisiti di accessibilità previsti dalla normativa europea e nazionale.
• Le imprese sono chiamate ad adeguare siti web, app, dispositivi e servizi digitali agli standard tecnici di accessibilità, pena l’applicazione di sanzioni, danni reputazionali e misure restrittive da parte di AgID e MIMiT.

In ottemperanza alla Legge Stanca, le imprese con un fatturato medio, negli ultimi tre anni di attività, superiore a 500 milioni di euro, già oggi sono obbligate ad adeguare siti, app e touchpoint digitali agli standard di accessibilità. Per queste imprese, le sanzioni in caso di violazione possono arrivare fino al 5% del fatturato. 

Dal 28 giugno 2025, l’obbligo di accessibilità digitale si estende a tutte le medie e piccole imprese (cioè le aziende sopra i 2 milioni di euro di fatturato annuo o più di 10 dipendenti) che offrono prodotti e servizi digitali ai consumatori con sanzioni fino a 40.000 Euro. Sono escluse solo le microimprese.

Gli accordi di condivisione sono disciplinati dall’art. 17 del d.lgs. n. 138/2024 e hanno ad oggetto la condivisione (volontaria e facoltativa) tra soggetti NIS o tra soggetti NIS e altri soggetti (ad esempio, fornitori di soggetti NIS) di informazioni relative alla sicurezza informatica, come minacce informatiche, quasi-incidenti, vulnerabilità, tecniche e procedure, allarmi di sicurezza, etc. Tali accordi sono funzionali alla prevenzione degli incidenti, nonché alla gestione, al contenimento e alla mitigazione delle loro conseguenze e contribuiscono all’innalzamento degli standard di sicurezza informatica collettiva.

La partecipazione di un soggetto NIS a uno o più accordi di condivisione deve essere comunicata all’ACN tramite il portale dei servizi, fornendo il testo dell’accordo e indicando la denominazione dello stesso e l’elenco dei soggetti che vi partecipano.

Riguardo ai termini di notifica, per gli accordi stipulati dopo l’entrata in vigore del d.lgs. 138/2024 (e cioè successivamente al 16 ottobre 2024), la notifica deve essere effettuata tempestivamente e quindi contestualmente o immediatamente dopo la conclusione dell’accordo​. In ogni caso, gli accordi di condivisione sottoscritti prima dell’entrata in vigore del d.lgs. 138/2024 (e ancora in corso al 31 maggio 2026) devono essere notificati entro il 31 maggio 2026​.

L’elenco degli accordi di condivisione a cui il soggetto NIS partecipa notificato all’ACN deve essere sempre verificato e aggiornato nel tempo: in particolare, ai sensi della Determinazione 136118, qualsiasi modifica (ad esempio, la sottoscrizione di un nuovo accordo, la risoluzione di un accordo esistente o modifiche al testo o ai partecipanti all’accordo), deve essere comunicata all’ACN entro 14 giorni dalla data della modifica.

In ogni caso, l’elenco degli accordi di condivisione deve essere aggiornato almeno una volta all’anno: tra il 15 aprile e il 31 maggio di ciascun anno, i soggetti NIS devono aggiornare, sempre tramite il portale, l’elenco degli accordi di condivisione di cui fanno parte. 

Se hai bisogno di assistenza e supporto nell’adempimento degli obblighi previsti dalla disciplina NIS, rivolgiti ai tuoi professionisti di riferimento.

• il ruolo dell'operatore economico
• il livello di rischio del sistema di AI

Se sei un deployer, e cioè se ti limiti ad utilizzare sistemi di AI all'interno della tua impresa, solo alcuni degli obblighi previsti dall'AI Act troveranno applicazione.

Ne parliamo nella nostra nuova pillola con Francesco Fidel Camera e Giulio Uras.

Scopri di più sull'AI Act: www.advantlaw.com/fileadmin/nctm/PDF/AI_ACT.pdf

Resta aggiornato sulle ultime notizie legale al mondo dell'intelligenza artificiale: www.advant-nctm.com/esperienza/spotlight/intelligenza-artificiale

Il d.lgs. n. 138/2024 si applica, di regola, a medie e grandi imprese rientranti in 17 settori critici e altamente critici (oltre a pubbliche amministrazioni e talune ulteriori tipologie di soggetti identificati direttamente dall’Agenzia per la Cybersicurezza Nazionale) e prevede a carico dei soggetti NIS obblighi riconducibili alle seguenti categorie:   

• obblighi di registrazione e aggiornamento delle informazioni: ogni anno i soggetti NIS devono registrarsi o aggiornare la registrazione già effettuata sul portale web dell’ACN, indicando il punto di contatto e fornendo una serie di informazioni relative, tra l’altro, alle attività svolte e ai servizi forniti;

• obblighi in materia di misure di sicurezza: ai soggetti NIS è richiesta l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete utilizzati nelle loro attività o nella fornitura dei loro servizi;

• obblighi in materia di notifica degli incidenti: i soggetti NIS devono notificare al CSIRT, per fasi ed entro termini temporali stringenti, gli incidenti di sicurezza che hanno un impatto significativo sulla fornitura dei loro servizi;

• obblighi a carico degli organi amministrativi e direttivi: gli organi amministrativi e direttivi, che sono responsabili per le violazioni della disciplina NIS, sono tenuti a seguire una formazione in materia di sicurezza informatica e a promuovere l’offerta periodica di formazione in materia di sicurezza informatica ai propri dipendenti.

Se la tua organizzazione è un soggetto NIS o presumi che lo diventerà nel corso di quest’anno, trovi di seguito un calendario con le date da tenere a mente per assicurare la conformità al d.lgs. n. 138/2024.

Se hai bisogno di assistenza e supporto nell’adempimento degli obblighi previsti dalla disciplina NIS, rivolgiti ai tuoi professionisti di riferimento.   

Iter legislativo

Nella notte di giovedì 20 marzo, il Senato della Repubblica ha approvato il disegno di legge sull’intelligenza artificiale (il “DDL AI”) che integrerà a livello nazionale la disciplina dettata dal Regolamento (UE) 2024/1689 (più noto come AI Act). 

A quasi un anno di distanza dalla sua trasmissione alle Camere, il DDL AI ha ricevuto il via libera dall’Aula del Senato con lievi modifiche. La palla passa ora alla Camera dei Deputati. Per l’effettiva implementazione delle norme, occorrerà comunque attendere (anche dopo che sarà approvato in via definitiva dal Parlamento) l’adozione da parte del Governo dei decreti legislativi sulle materie oggetto di delega. 

I tempi (lunghi) di approvazione da parte del Senato del DDL AI si spiegano anche alla luce del parere reso dalla Commissione europea con il quale erano state rilevate alcune incongruenze con l’AI Act che, come si dirà di seguito, sono state solo parzialmente risolte.

Il disegno di legge

L’obiettivo del DDL AI è quello di rafforzare ulteriormente il livello di tutela in relazione all’utilizzo dell’intelligenza artificiale con specifico riferimento a taluni ambiti e settori.

La struttura del DDL AI si articola come segue.

Nella prima parte sono stabiliti i principi guida ed è definita la strategia nazionale in relazione all’utilizzo dell’intelligenza artificiale.

La seconda parte prevede, invece, specifiche disposizioni di settore, volte a innalzare il livello di trasparenza nei seguenti ambiti e settori:

• sanitario e ricerca scientifica;
• mondo del lavoro e professioni intellettuali;
• attività giudiziaria;
• pubblica amministrazione;
• sicurezza nazionale;
• tutela degli utenti e diritto d’autore.

La terza parte è dedicata alla governance e individua le autorità nazionali competenti in materia e cioè:

• l’Agenzia per l’Italia Digitale (AgID), in qualità di autorità di notifica; e
• l’Agenza per la Cybersicurezza Nazionale (ACN), in qualità di autorità di vigilanza.

Infine, la quarta parte è dedicata alla tutela penale e stabilisce una serie di circostanze aggravanti in relazione all’utilizzo di sistemi di intelligenza artificiale nella commissione di taluni reati, oltre a introdurre una nuova fattispecie di reato che punisce l’illecita diffusione dei cd. deep fake.

Le modifiche al testo originario

Rispetto alla versione originaria del 23 aprile 2024, il nuovo testo del DDL AI ha subito poche modifiche, tutte di scarso rilievo. In particolare, si segnalano:

• la rimozione di autonome definizioni dei termini “sistemi di intelligenza artificiale” e “modelli di intelligenza artificiale”, facendo rinvio alle definizioni dell’AI Act;
• i trattamenti di dati personali per finalità di ricerca e sperimentazione clinica saranno disciplinati specificamente attraverso decreto del Ministero della salute;
• il conferimento di apposita delega al governo per definire una disciplina organica relativa all’utilizzo di dati, algoritmi e metodi matematici nell’ambito del training di sistemi di intelligenza artificiale.

I rilievi della Commissione

Come detto sopra, la Commissione europea aveva espresso al Governo una serie di rilievi sul testo originario del DDL AI, giudicato eccessivamente restrittivo. 

In particolare, nel suo parere circostanziato C(2024)7814, la Commissione aveva “bocciato” il testo di legge per tre ordini di motivi:

• le definizioni non possono distaccarsi da quelle utilizzate nell’AI Act;
• gli ambiti delle professioni intellettuali, dell’attività giudiziaria e della sanità rischiano di essere sovraccaricati da obblighi eccessivi;
• le autorità di governance nominate, AgID e ACN, sono autorità governative che non possono assicurare piena indipendenza.

Considerazioni conclusive

Se il primo rilievo è stato affrontato e risolto, i restanti rilievi non sembrano essere stati presi in considerazione. Le aree di potenziale incompatibilità con la disciplina europea sull’intelligenza artificiale dunque persistono. 

La domanda a questo punto è: il DDL AI sarà approvato così com’è o, invece, il legislatore terrà conto del parere della Commissione revisionandone il contenuto? Non ci resta che attendere la decisione della Camera dei Deputati.

Negli scorsi mesi, le Camere di Commercio e taluni Consigli notarili avevano interpretato tale obbligo come applicabile esclusivamente alle società che, a partire dal 1° gennaio 2025, (i) presentassero domanda di iscrizione della nomina degli amministratori unitamente all’atto costitutivo di società di capitali; o (ii) presentassero domanda di iscrizione dell’atto costitutivo di società di persone.

Era inoltre stata ammessa la possibilità per gli amministratori di indicare come domicilio digitale quello della società presso cui ricoprivano la carica, analogamente a quanto avviene per l’elezione del domicilio fisico. 

La nota del Ministero ha chiarito definitivamente i dubbi interpretativi emersi nei mesi scorsi, specificando innanzitutto che l’obbligo di comunicazione del domicilio digitale - a pena di sospensione del procedimento di iscrizione a Registro Imprese ed eventualmente di sanzione amministrativa - si estende agli amministratori di tutti i soggetti, costituiti in qualsiasi forma societaria (siano esse società di persone o di capitale) che possono svolgere attività imprenditoriale. Ne restano pertanto escluse le società semplici (con la sola eccezione delle società semplici che esercitino attività agricola) e le società di mutuo soccorso, nonché i consorzi di cui agli artt. 2602 c.c. e ss., anche con attività esterna ex art. 2612 c.c., e le società consortili.

Il Ministero ha inoltre precisato che l’obbligo di comunicazione del domicilio digitale riguarda non solo gli amministratori delle imprese costituite dopo il 1° gennaio 2025 (o che presentino la domanda di iscrizione al registro successivamente a tale data) ma anche gli amministratori e i liquidatori delle società già esistenti prima dell’entrata in vigore della norma.

Pertanto, il Ministero ha precisato che la comunicazione della PEC degli amministratori dovrà avvenire:

• per le imprese costituite dopo il 1° gennaio 2025 (o che presentino la domanda di iscrizione successivamente a tale data) contestualmente al deposito della domanda di iscrizione nel Registro delle Imprese; e
• per le imprese già costituite prima del 1° gennaio 2025, entro il 30 giugno 2025. In caso di nuova nomina o rinnovo dell’amministratore, l’indirizzo PEC dovrà essere comunicato in occasione dell’iscrizione della nomina stessa.

Infine, quanto alla possibilità di indicare, analogamente a quanto avviene per il domicilio fisico, il domicilio digitale della società, il Ministero ha smentito i precedenti orientamenti interpretativi di alcune Camere di Commercio, chiarendo che ciascun amministratore dovrà fornire un proprio indirizzo PEC personale. 

ADVANT Nctm è a disposizione dei propri Clienti per assisterli nell’adempimento degli obblighi di legge.

L'intelligenza artificiale comincia a dare un contributo rilevante nell'ambito della propria operatività ai soggetti che operano nel mercato finanziario. Proviamo a fare il punto delle conseguenze con Fabio Coco, Partner di ADVANT Nctm. 

I casi d'uso dell'intelligenza artificiali possono apportare grandi vantaggi per le imprese del mondo finanziario. Possiamo fare qualche esempio? In particolare, l'intelligenza artificiale è stata utilizzata per individuare potenziali frodi a danno del prestatore di servizi di pagamento e dei clienti. La possibilità di analizzare grandi quantità di dati permette di identificare anomalie nelle transazioni per individuare tentativi di frode, ma anche di profilare le abitudini dei clienti e individuare le transazioni che si discostano da tali cosiddetti pattern anche tramite forme di "adaptive learning" ossia di strumenti che aggiornano i loro parametri, imparando dai dati in tempo reale.

Articolo integrale disponibile sul settimanale di Plus 24 - Il Sole 24 Ore

Questo episodio, che ha causato la posticipazione del lancio di GPT 4.5, rende manifesta l’esigenza nel mondo AI di sempre maggiori risorse di calcolo per alimentare le nuove frontiere della tecnologia e, conseguentemente, di una quantità sempre maggiore di energia.

L’obiettivo di questo focus è affrontare alcuni aspetti specifici dell’annosa querelle tra innovazione tecnologica e impatto ambientale (ed energetico) provocato dalla stessa. E quale miglior punto di partenza se non l’analisi della disciplina regolatoria della principale fonte di fabbisogno computazionale per l’elaborazione di massicce quantità di dati? I data center: ormai elementi essenziali per supportare l'espansione degli algoritmi di intelligenza artificiale.

I data center, anche noti come centri di elaborazione dati (CED), sono infrastrutture fisiche che ospitano le apparecchiature (in primis, server e sistemi di storage) e i servizi di gestione delle risorse informatiche, costituendo un’infrastruttura IT che può essere funzionale a uno o più fruitori.

Sul tema, per la prima volta in Italia, sono state adottate dal Ministero dell’Ambiente e della Sicurezza Energetica (MASE), con Decreto n. 257 del 2 agosto 2024, delle Linee Guida per le Procedure di Valutazione Ambientale dei Data Center (Linee Guida).

Tale provvedimento è stato reso necessario dalla constatazione, espressa dai vertici del MASE, che i data center “rappresentano quasi il 3% della domanda di elettricità dell’UE, percentuale destinata ad aumentare nei prossimi anni. Da qui la necessità di indirizzarli verso una maggiore efficienza ai fini della sostenibilità”.  Sul punto, il crescente utilizzo di modelli di AI, ha spinto l’Agenzia Internazionale dell’Energia a prevedere per il 2026 un raddoppiamento del consumo di elettricità per alimentare i data center rispetto a quanto richiesto nel 2022. E la prospettiva per gli anni a venire è quella di una vorticosa crescita della domanda di energia. Recentemente, il Financial Times ha sollevato la questione se l'energia nucleare possa essere la risposta ideale per alimentare l'intelligenza artificiale senza emissioni di carbonio. Un evento significativo è stato l'accordo tra Microsoft e Constellation Energy per l'acquisto dell'energia prodotta dalla centrale nucleare di Three Mile Island, in Pennsylvania, per i prossimi 20 anni. Questo impianto fornirà 835 megawatt di energia, sufficiente per alimentare circa 800.000 case.

Ma aldilà di quale sia la fonte (fossile o meno) energetica, nello specifico i data center, oltre ad aver bisogno di una connessione alla rete elettrica per l’alimentazione dei relativi consumi, necessitano di gruppi elettrogeni di emergenza per far fronte ad eventuali interruzioni di energia elettrica. Sono proprio questi gruppi di elettrogeni a costituire uno degli aspetti di impatto ambientale più rilevante.

È per questo che le Linee Guida limitano l’ambito di applicazione ai gruppi elettrogeni di emergenza la cui potenza termica nominale sia superiore a 50MW, distinguendo un livello di assoggettamento procedimentale progressivo alla normativa ambientale.

In tal senso, chiunque intenda realizzare un data center dovrà sottoporre il progetto, alternativamente, a:

•  per i casi in cui la potenza è ricompresa tra i 50 e 150 MW, verifica di assoggettabilità a Valutazione di Impatto Ambientale (VIA) ai sensi dell’art. 19 del Testo Unico Ambientale (TUA), volta a verificare se il progetto non determina potenziali impatti significativi e quindi può essere escluso dal procedimento di VIA;

• per i casi in cui la potenza è superiore a 150 MW, dovrà invece essere eseguita una VIA ai sensi dell’art. 23 e ss. del TUA, al fine di individuare, descrivere e valutare, in modo appropriato, gli impatti ambientali del progetto.

Si consideri, però, che gli impatti sull’ambiente dei data center, non sono solo quelli generati dalle unità in esercizio degli impianti sulla componente atmosfera, dal momento che il progetto può incidere anche su consumo e impermeabilizzazione di suolo, sul paesaggio, sulla biodiversità, sull’ambiente idrico, sulla salute e, ai sensi dell’art. 5, comma 1, lett. c) del TUA, gli impatti ambientali da valutare sono tutti gli “effetti significativi, diretti e indiretti, di un piano, di un programma o di un progetto, sui seguenti fattori:

• popolazione e salute umana;

• biodiversità; 

• territorio, suolo, acque, aria e clima; 

• beni materiali, patrimonio culturale, paesaggio; 

• interazione trai fattori sopra elencati” 

Pertanto, al fine di predisporre la documentazione necessaria per le valutazioni ambientali previste, sarà necessario prendere in considerazione tutti i potenziali impatti del data center, anche se la produzione di energia da parte dei generatori di emergenza avviene per intervalli di tempo circoscritti, durante le attività di manutenzione ordinaria o durante le eventuali limitate interruzioni di rete.

Le recenti Linee Guida provano dunque ad affrontare il tema della sostenibilità dei data center, richiedendo agli operatori un approccio integrato per conciliare innovazione tecnologica e responsabilità ambientale. In questo contesto – sicuramente intricato - abbiamo sviluppato un’esperienza nella navigazione del framework normativo-regolamentare su come implementare efficacemente le procedure di valutazione di impatto ambientale (VIA) e garantire la conformità con le recenti disposizioni. L’obiettivo è di assistere gli operatori che intendano sviluppare progetti sostenibili, ottimizzando l'efficienza operativa e riducendo gli impatti ambientali.

Paolo Gallarati e Giulio Uras interverranno al GC Summit Italy 2025, l’evento organizzato da Legal 500 dedicato ai general counsel. Il loro intervento si concentrerà sul tema: “The Role of the General Counsel in Cybersecurity: Rising to the Challenge of the NIS2”, affrontando le sfide emergenti della sicurezza informatica e il ruolo cruciale del General Counsel nell'adeguarsi alla normativa NIS2.
 

Maggiori informazioni.

Come sostenuto nelle Linee guida, dal momento che i dati pseudonimizzati costituiscono informazioni relative a una persona fisica identificabile, essi rimangono a tutti gli effetti dati personali e, come tali, sono soggetti alle disposizioni di cui al GDPR. 

A questo riguardo, l’EDPB pare adottare una nozione molto ampia di dati personali, in contrasto con le recenti conclusioni dell'Avvocato Generale Dean Spielmann nella causa C-413/23 P del 6 febbraio 2025. Infatti, adottando un approccio più restrittivo, l’Avvocato Generale sottolinea che, al fine di determinare se i dati pseudonimizzati siano da considerarsi dati personali e dunque rientrino nell’ambito di applicazione oggettivo del GDPR, si debba tenere conto della ragionevole probabilità che le informazioni aggiuntive possano essere utilizzate dal destinatario dei dati per identificare l’interessato, non essendo sufficiente la mera teorica identificabilità dello stesso.

Tornando alle Linee guida, concetto fondamentale introdotto dall’EDPB è quello di “pseudonomysation domain”, definibile come l’insieme di individui e sistemi autorizzati che possono avere accesso ai dati pseudonimizzati. All’interno di questo dominio, che sarà onere del titolare/responsabile determinare, i dati pseudonimizzati possono essere trattati minimizzando i rischi di re-identificazione degli interessati. Ciò comporta, come logico corollario, che gli pseudonomysation secrets dovranno essere conservati al di fuori del dominio di pseudonimizzazione. 

Sempre in un’ottica di accountability, il titolare è tenuto a valutare, anche attraverso risk assessment periodici, la probabilità di re-identificazione all'interno del dominio di pseudonimizzazione, in modo da garantire che il rischio rimanga trascurabile per tutto il periodo di trattamento.

D’altra parte, le Linee guida costituiscono anche un utile indirizzo operativo per le imprese e gli operatori, presentando alcuni esempi di misure tecniche adeguate per procedere alla pseudonimizzazione, tra cui si segnalano:

• tecniche di crittografia avanzata, come le funzioni di Hash SHA-3, che possono essere utilizzate per creare dati pseudonimizzati. Per aumentare la sicurezza del procedimento, è possibile combinare queste funzioni con un salt, ossia una stringa di dati casuali generata in modo sicuro;

• misure di sicurezza relative all’infrastruttura informatica, come la limitazione degli accessi agli pseudonomysation secrets (in concreto, si potrebbero limitare gli accessi ai soli amministratori di sistema, applicando anche ad essi il principio del privilegio minimo);

• l’utilizzazione di strumenti di data protection engineering, sui cd. quasi identificatori (cioè quelle informazioni che, se combinate tra loro, possono identificare indirettamente un individuo), incluse tecniche come la generalizzazione e soppressione, che modificano il livello di dettaglio dei dati o eliminano quelli altamente rischiosi per ridurre il rischio di re-identificazione.

In conclusione, emerge dall’analisi delle Linee guida il ruolo fondamentale che la pseudonimizzazione può giocare per l’applicazione del principio di privacy by design oltre che in alcune aree di attività aziendali, assai sensibili dal punto di vista data protection, come la gestione dei canali whistleblowing e i trasferimenti di dati personali extra UE. Come chiarito dalle stesse Linee guida, la pseudonimizzazione può inoltre facilitare l’utilizzo di basi giuridiche come il legittimo interesse di cui all’art. 6(1)(f) del GDPR per il trattamento dei dati personali - un approccio certamente utile quando si deve cercare un’alternativa al consenso e il bilanciamento tra gli interessi delle aziende e i diritti degli individui - e favorire la compatibilità dei dati trattati da eventuali destinatari con la valutazione della finalità originaria del trattamento, ai sensi dell’art. 6(4) GDPR. 

Una recente decisione della Corte di Giustizia dell’Unione Europea ha fornito una serie di chiarimenti generali riguardo all’applicazione del Regolamento Gdpr

Una recente decisione della Corte di Giustizia dell’Unione Europea ha fornito una serie di chiarimenti generali riguardo all’applicazione del Regolamento Generale sulla Protezione dei Dati Personali (Gdpr) ed i limiti entro i quali possono aver luogo la richiesta e la divulgazione di informazioni personali di soci di un fondo di investimento, soprattutto nel caso in cui la partecipazione sia indiretta, in quanto detenuta tramite una società fiduciaria.

La decisione è stata resa a seguito di rinvio pregiudiziale disposto dall’Amtsgericht München (Tribunale circoscrizionale, Monaco di Baviera, Germania) e verteva sull’interpretazione dell’articolo 6, par. 1, comma primo lettere b), c) ed f) del Gdpr. All’origine del contenzioso vi era l’azione promossa da alcuni soci che avevano adito l’autorità per ottenere informazioni sugli altri partecipati al fondo (con l’interesse di entrare in contatto e negoziare con loro il
riacquisto delle loro quote sociali, o ancora di coordinarsi con questi ultimi al fine di formare una volontà comune nell’ambito di decisioni dei soci) e, ovviamente, un contrasto applicativo tra Gdpr e diritto tedesco.

La Cgue giunge ad affermare che, in applicazione ai limiti imposti dal Gdpr, la richiesta di altri detentori di partecipazioni in un fondo ad azionariato diffuso di comunicare i dati sui soci con partecipazioni indirette tramite società fiduciaria può avvenire se ciò è necessario all’esecuzione di un contratto, ovvero sia indispensabile per realizzare una finalità che è parte integrante della prestazione contrattuale destinata all’interessato.

Tuttavia, tale previsione non può trovare applicazione nel caso in cui i contratti di
partecipazione e fiduciari, in forza dei quali sono state acquistate partecipazioni indirette nei fondi di investimento, prevedono espressamente il divieto di comunicare i dati relativi agli investitori indiretti ad altri detentori di partecipazioni. D’altro canto, osserva la Cgue, la caratteristica essenziale dell’acquisto di una partecipazione indiretta, tramite una società fiduciaria, in un fondo di investimento ad azionariato diffuso è precisamente l’anonimato dei
soci, ivi incluso nei rapporti tra i soci stessi.

In altri termini, è tenendo conto del trattamento riservato dei loro dati da parte del fondo di investimento che le persone optano per un investimento finanziario in un siffatto fondo sotto forma di partecipazione detenuta tramite una società fiduciaria.

In linea teorica, osserva la Corte, potrebbe la richiesta di informazioni trovare positivo riscontro se essa è necessaria per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, ma a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali. Nel caso in esame, in termini
molto pragmatici, viene escluso che tale deroga possa trovare applicazione, in quanto il socio del fondo di investimento potrebbe chiedere direttamente al fondo o alla società fiduciaria di trasmettere la sua richiesta al socio interessato, allo scopo di fare conoscenza o discutere con quest’ultimo, lasciandogli così la libertà di rimanere anonimo oppure avviare un dialogo con l’altro socio.

Infine, viene vagliata dalla Corte l’ultima condizione che legittimerebbe la diffusione dei dati del socio, ovvero quando sia necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento. In tale situazione è legittimo il trattamento dei dati quando è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento, in virtù del diritto dello Stato membro interessato (anche per effetto di posizione giurisprudenziale, alla condizione che tale giurisprudenza sia chiara e precisa, che la sua applicazione sia prevedibile per le persone che vi sono sottoposte e che risponda a un obiettivo
di interesse pubblico e sia proporzionata a quest’ultimo).

Spetterà quindi al Tribunale valutare i principi di diritto interpretativi del Gdpr e valutare se i soci hanno, o meno, diritto ad ottenere i nominativi degli altri soci indiritti dal fondo o dalle società fiduciarie.

Jacopo Arnaboldi parteciperà all’Italian Insurtech Summit, l’evento di riferimento per l’innovazione tecnologica nel settore assicurativo in Italia, organizzato dall'Italian Insurtech Association.

Durante il summit, saranno approfonditi temi centrali come l’intelligenza artificiale, i big data, la blockchain e le soluzioni innovative che stanno ridefinendo il modo in cui le compagnie assicurative operano e interagiscono con i loro clienti. 

L’evento rappresenta un’occasione unica per confrontarsi con i protagonisti dell’innovazione e per scoprire come le nuove tecnologie stiano cambiando il panorama assicurativo italiano e globale.

Clicca qui per maggiori informazioni

Paolo Gallarati e Giulio Uras parteciperanno al webinar organizzato da ANRA (Associazione Nazionale del Risk Manager e Responsabili Assicurazioni Aziendali) in collaborazione con QBE Italia. 

Durante l'evento, dedicato al settore assicurativo con focus sugli attacchi informatici, verrà presentato QCyberProtect, la nuova proposta di QBE con servizio di incident respons management grazie alla partnership con il nostro Studio.

Per ulteriori informazioni clicca qui

È stato pubblicato in Gazzetta Ufficiale il d.lgs. n. 138/2024 (“Decreto NIS2”) che recepisce la direttiva (UE) 2022/2555, più nota come “Direttiva NIS2”. 

Il Decreto NIS2 oltre ad abrogare il d.lgs. n. 65/2018 – che recepiva la direttiva 2016/1148, c.d. Direttiva NIS – ha disposto anche l’abrogazione degli artt. 40 (“Sicurezza delle reti e dei servizi”) e 41 (“Attuazione e controllo”) del d.lgs. n. 259/2003 (“Codice delle Comunicazioni Elettroniche”), con la conseguenza che ora i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico sono soggetti unicamente alla disciplina dettata dal Decreto NIS2.

A chi si applica?

Il Decreto NIS2 si applica a soggetti, sia pubblici che privati, che operano in settori “critici” (es. energia, trasporti, settore bancario, settore sanitario, infrastrutture digitali, spazio, gestione dei rifiuti, fabbricazione di dispositivi medici, macchinari, autoveicoli, etc.). 

I soggetti obbligati si distinguono poi in essenziali e importanti, in funzione della loro importanza per il settore o il tipo di servizi che forniscono, nonché́ delle loro dimensioni. L’appartenenza ad una o all’altra categoria rileva ai fini dell’applicazione delle sanzioni in caso di violazione degli obblighi previsti dal Decreto NIS2, che sono più elevate per i soggetti essenziali (pari a un massimo di almeno 10 milioni EUR o a un massimo di almeno il 2% del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto essenziale appartiene, se tale importo è superiore).

Quali sono gli obblighi?

I principali obblighi gravanti sui soggetti obbligati consistono nell’adozione di misure di gestione dei rischi per la sicurezza informatica e nella notifica di incidenti significativi.

Con riguardo agli obblighi in materia di gestione dei rischi per la sicurezza informatica, ai soggetti essenziali e importanti è imposta l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete utilizzati nelle loro attività o nella fornitura dei loro servizi. 

Per quanto riguarda gli obblighi di notifica, il Decreto NIS2 prevede che i soggetti essenziali e importanti notifichino al CSIRT gli incidenti che hanno un impatto significativo sulla fornitura dei loro servizi. 

La notifica è effettuata per fasi e prevede: una pre-notifica entro 24 ore dall’incidente, la notifica vera e propria entro 72 ore dall’incidente e una relazione finale entro 1 mese dalla notifica.

Tanto gli obblighi in materia di gestione dei rischi per la sicurezza informatica quanto gli obblighi di notifica saranno definiti nel dettaglio (anche con riguardo a termini, modalità, specifiche e tempi graduali di implementazione) dall’ACN con proprie determinazioni sulla base di criteri di gradualità e proporzionalità.

La responsabilità di assicurare il rispetto degli obblighi stabiliti dal Decreto NIS2 ricade sugli organi amministrativi e direttivi dei soggetti essenziali e importanti, che sono responsabili delle violazioni del Decreto NIS2.

Per maggiori informazioni consulta la nostra Guida sulla Cybersecurity (aggiornata a Decreto NIS2, Decreto CER e Legge sulla Cybersicurezza) o contatta i nostri professionisti dedicati alla materia.

Il documento impone ai datori di lavoro obblighi puntali in relazione alla raccolta, l'uso e la conservazione di metadati da parte dei programmi e dei servizi informatici per la gestione della posta elettronica in uso ai dipendenti.

Ma che cosa sono i metadati e qual è il contenuto degli obblighi imposti dal Garante?

Clicca qui per il documento integrale

1. Trattamenti di dati personali effettuati nel settore bancario e finanziario

Il Garante ha rilevato un notevole afflusso di segnalazioni, reclami, quesiti e richieste di parere relativi ai trattamenti di dati personali effettuati da banche, società finanziarie, sistemi di informazione creditizia gestiti da soggetti privati, Centrale dei rischi pubblica gestita dalla Banca d’Italia e Centrale di allarme interbancaria.In particolare, numerose richieste hanno riguardato il trattamento dei dati personali effettuato in occasione delle operazioni di identificazione e adeguata verifica della clientela prescritte dalla normativa vigente in materia di antiriciclaggio e antiterrorismo.A tale riguardo, l’Autorità è tornata a ribadire che tutte le categorie di soggetti obbligate ai sensi della vigente normativa di settore devono sia identificare l’interessato ed effettuare la cd. adeguata verifica prima di stipulare qualsiasi rapporto contrattuale o effettuare operazioni occasionali, sia eseguire una serie di interventi, tra cui il monitoraggio e il controllo continuativo del rapporto pendente. L’identificazione del cliente prevede la consegna di copia di un valido documento d’identità dell’interessato, mentre l’adeguata verifica richiede l’acquisizione di dettagliate informazioni e di specifica documentazione (anche sull’attività lavorativa svolta e sulla situazione economica e patrimoniale), variabile a seconda delle modalità in concreto adottate (verifica semplificata, ordinaria o rafforzata).Sempre numerosi sono stati i reclami e le segnalazioni in materia di esercizio dei diritti degli interessati, con specifico riguardo al diritto di accesso ai dati personali. In linea con il consolidato orientamento dell’Autorità in materia, è stato precisato che l’accesso ai dati personali è altro rispetto all’accesso ai documenti bancari disciplinato dall’art. 119, d.lgs. 1° settembre 1993, n. 385 (Testo unico delle leggi in materia bancaria e creditizia); le istanze di accesso ai dati, pertanto, non devono tendere all’acquisizione di copia di documenti bancari, non possono riguardare dati di terzi e devono conformarsi alla disciplina in materia di protezione dei dati (in specie, agli articoli 12 e ss. del Regolamento (UE) 2016/679, di seguito “GDPR”). 

2. Sicurezza dei luoghi di lavoro

Un’attenzione particolare è stata prestata alle problematiche legate alla sicurezza dei luoghi di lavoro (pubblici e privati) e ai connessi trattamenti di dati relativi al personale, a utenti, clienti e fornitori in ossequio a quanto previsto dal Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro, sottoscritto inizialmente il 14 marzo 2020 fra il Governo e le parti sociali ed aggiornato il 24 aprile 2020, il cui impianto regolatorio è stato poi confermato dall’art. 2, D.P.C.M. 13 ottobre 2020, da ultimo aggiornato il 6 aprile 2021.In tale occasione è stato precisato che la rilevazione della temperatura corporea del personale per l’accesso ai locali e alle sedi aziendali rientra tra le misure per il contrasto alla diffusione del virus che trovano applicazione anche nei confronti delle categorie di soggetti citati, ove per questi ultimi non sia stata predisposta una modalità di accesso separata. Non è poi ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione”, la registrazione della sola circostanza del superamento della soglia stabilita dalla legge, in particolare quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.E’ stato rammentato che tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al Covid-19 o provenga da zone a rischio secondo le indicazioni dell’OMS.Il Garante ha altresì ribadito che il datore di lavoro non può rendere nota l’identità del dipendente risultato affetto da Covid-19 agli altri lavoratori. Inoltre, considerate le notizie di stampa in merito al ricorso, anche da parte di grandi società, ad applicativi preordinati al contenimento del rischio di contagio da Covid-19, il 6 luglio 2020 il Garante ha pubblicato sul proprio sito istituzionale ulteriori FAQ. 

3. Trattamenti di dati personali effettuati mediante posta elettronica e altri dispositivi tecnologici nel rapporto di lavoro

L’Autorità è tornata a pronunciarsi sulle condizioni di liceità dei trattamenti dei dati personali dei lavoratori effettuati mediante dispositivi tecnologici utilizzati per rendere la prestazione lavorativa.In particolare, l’Autorità si è pronunciata sul caso di una società che, cessato il rapporto di lavoro con un dipendente, avvalendosi dell’amministratore di sistema, aveva effettuato una ricerca sulle e-mail contenute nell’account aziendale (di tipo individualizzato) assegnato al medesimo e conservate sul server aziendale per oltre un anno. Alcune e-mail erano state così utilizzate per avviare un procedimento in sede giurisdizionale, mentre le altre risultavano ancora conservate dalla società in vista di futuri, possibili contenziosi. In proposito il Garante ha accertato, in primo luogo, che la società non aveva informato l’interessato, prima dell’inizio dei trattamenti, che tutte le e-mail in transito sull’account aziendale sarebbero state conservate sul server anche al fine di poter disporre controlli sul loro contenuto. Tale trattamento è stato dichiarato illecito in relazione agli artt. 12 e 13 del GDPR, in base ai quali il titolare è tenuto a fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento. Come più volte ricordato dall’Autorità, infatti, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente costituisce espressione del principio generale di correttezza dei trattamenti (v. art. 5, par. 1, lett. a), del GDPR).Inoltre, l’Autorità ha anche accertato che la sistematica conservazione sul server aziendale delle e-mail in entrata e in uscita (sia dei dati esterni che del loro contenuto) per un ampio arco temporale, il successivo accesso della società ai dati raccolti nel corso dell’attività lavorativa – attraverso un’indagine interna effettuata a posteriori volta a verificare possibili “acquisizioni fraudolente, utilizzazione indebita o rivelazione di segreti” -, nonché l’accesso ad informazioni relative alla vita privata del lavoratore non rilevanti ai fini della valutazione dell’attitudine professionale dello stesso, hanno comportato la violazione degli artt. 113 e 114 del D.Lgs. 196/2003, come novellato dal D.Lgs. 101/2018 (di seguito, il “Codice Privacy”), disposizioni rientranti tra le norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”, richiamate dall’art. 88 del GDPR.Il Garante si è anche pronunciato sul regolamento interno relativo all’uso della posta elettronica aziendale adottato dalla società nel corso di un procedimento, stabilendo che la sistematica conservazione, ivi prevista, per 12 mesi di tutte le e-mail presenti sull’account aziendale, in costanza del rapporto di lavoro, in vista di futuri possibili contenziosi, non è conforme ai principi di minimizzazione dei dati e di limitazione della conservazione (art. 5, par. 1, lett. c) ed e), del GDPR). Medesima valutazione è stata riservata alla prospettata ulteriore conservazione per 6 mesi del contenuto della casella di posta elettronica dopo la cessazione del rapporto di lavoro in relazione al compimento di possibili illeciti. In tale occasione l’Autorità ha ribadito che il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti, posto che tale trattamento risulterebbe elusivo delle disposizioni sui criteri di liceità del trattamento.Con riferimento, poi, alla rappresentata finalità di poter far fronte ad eventuali contestazioni da parte di clienti, fornitori e p.a., il Garante ha ribadito che la legittima necessità di assicurare la conservazione di documentazione necessaria per l’ordinario svolgimento e la continuità dell’attività aziendale è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali – attraverso l’adozione di appropriate misure organizzative e tecnologiche – individuare i documenti che nel corso dello svolgimento dell’attività lavorativa devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile; caratteristiche che i sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare. 

4. Gestione di account di posta elettronica aziendale durante il periodo di malattia

L’Autorità ha ritenuto non conforme al GDPR la disattivazione dell’account di posta elettronica aziendale operata dal datore di lavoro durante il periodo di malattia del lavoratore interessato. All’esito dell’istruttoria avviata a seguito di un reclamo è infatti emerso che tale operazione non costituiva applicazione di (asserite) procedure di sicurezza standard. Ciò anche alla luce del fatto che l’informativa fornita non conteneva alcun riferimento alla possibilità per l’azienda di effettuare tale specifica modalità di trattamento per il raggiungimento di finalità legittime rese note preventivamente, come previsto in via generale dall’art. 13 del GDPR e, nello specifico contesto del rapporto di lavoro, in applicazione del principio generale di correttezza (ex art. 5, par. 1, lett. a), del GDPR). Il Garante ha quindi prescritto al titolare di dare corso all’istanza di accesso ai dati contenuti nell’account di posta elettronica a suo tempo presentata dal reclamante ed ha comminato una sanzione amministrativa pecuniaria (cfr. Ordinanza del 9 luglio 2020, n. 145 [doc. web n. 9474649]). 

5. I trattamenti di dati relativi alla persistente attivazione dell’account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro

Una parte significativa dei reclami e delle altre tipologie di istanze rivolte all’Autorità in materia di rapporti di lavoro continua a riguardare il persistente utilizzo da parte del datore di lavoro di account di posta elettronica aziendale di tipo individualizzato (contenente il nome e/o il cognome della lavoratrice o del lavoratore) anche dopo che il rapporto di lavoro, in forza del quale l’account è stato assegnato, si è interrotto. Nel caso oggetto di decisione, l’Autorità ha accertato che l’account di posta elettronica aziendale di tipo individualizzato assegnato da una società ad un lavoratore era rimasto attivo per circa dieci mesi dopo la cessazione del rapporto di lavoro, all’insaputa dell’interessato, ed i messaggi in arrivo erano stati reindirizzati sull’account dell’ex superiore gerarchico del reclamante. Ciò ha consentito al titolare del trattamento (datore di lavoro) di accedere alla corrispondenza elettronica pervenuta sulla casella di posta, proveniente da soggetti interni ed esterni all’ambito lavorativo.La società ha in questo modo appreso alcune informazioni personali relative all’interessato riguardanti non solo i dati cd. esterni delle comunicazioni e gli eventuali file allegati, ma anche il contenuto delle stesse che, come accertato dall’Autorità, riguardavano non soltanto l’attività professionale, ma anche aspetti della sfera personale del reclamante in relazione ai quali quest’ultimo e i terzi coinvolti (i cui diritti devono essere parimenti tutelati) vantavano legittime aspettative di riservatezza.L’Autorità ha pertanto accertato la violazione di una pluralità di disposizioni del GDPR, in primo luogo degli articoli 12 e 15 per non aver dato corso all’istanza di accesso del reclamante ai dati contenuti nella casella di posta elettronica se non dopo la presentazione del reclamo.Dopo la cessazione del rapporto di lavoro, infatti, la società avrebbe dovuto rimuovere l’account previa disattivazione dello stesso con la contestuale adozione di sistemi automatici volti ad informarne i terzi e a fornire a questi ultimi indirizzi alternativi riferiti alla propria attività professionale (ciò in applicazione dei principi stabiliti dall’art. 5, par. 1, lett. a), c) ed e), del GDPR). 

6. Trattamento dei dati personali effettuato mediante sistemi di video sorveglianza

Il Garante ha continuato ad occuparsi del trattamento dei dati effettuato attraverso sistemi di videosorveglianza installati presso luoghi di lavoro, rammentando ai titolari del trattamento l’obbligo di rispettare l’art. 114 del Codice Privacy (che rinvia all’art. 4, l. n. 300/1970), l’obbligo di fornire un’adeguata informativa agli interessati prima che entrino nel campo di ripresa delle telecamere nonché la necessità di effettuare il trattamento solo in presenza di una specifica condizione di liceità del trattamento.Sempre con riferimento ad un trattamento di dati personali effettuato attraverso un sistema di videosorveglianza, a seguito di una segnalazione, il Garante ha adottato un’ordinanza-ingiunzione nei confronti di una struttura ricettiva, avendo accertato che la stessa, a partire dal 2009, aveva utilizzato un impianto di videosorveglianza all’interno e all’esterno della struttura omettendo di apporre, in prossimità del raggio di azione delle telecamere, cartelli informativi idonei ad avvisare clienti, dipendenti e fornitori della esistenza e delle caratteristiche essenziali dell’attività di videoripresa, in contrasto con quanto stabilito dall’art. 13 del GDPR (cfr. Ordinanza del 26 novembre 2020, n. 256 [doc. web n. 9533587]).Ha altresì formato oggetto di vaglio l’installazione, avvenuta ad opera di un’azienda sanitaria, di un sistema di videosorveglianza dotato di telecamere dislocate in aree nelle quali normalmente transitano o sostano anche i dipendenti (corridoi, ingressi, sale di attesa, pronto soccorso), con conseguente possibilità di controllarne indirettamente l’attività. Nel corso dell’istruttoria è emerso che l’installazione dei citati sistemi − avvenuta da oltre dieci anni in diverse strutture di competenza dell’azienda sanitaria e funzionale a esigenze di sicurezza e di tutela del patrimonio aziendale − fosse stata effettuata in assenza del necessario previo accordo con le organizzazioni sindacali o dell’autorizzazione da parte del competente Ispettorato del lavoro.L’Autorità ha ribadito che, in base alla disciplina in materia di protezione dei dati personali, l’amministrazione, che opera in qualità di datore di lavoro, può trattare i dati personali dei dipendenti se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla normativa nazionale o dell’Unione (artt. 6, par. 1, lett. c); 9, par. 2, lett. b) e 4; 88 del GDPR) rispettando altresì le norme nazionali, preesistenti o di futura emanazione. 

7. Attività di marketing

Diversi sono stati i provvedimenti adottati dal Garante con riferimento all’invio di e-mail indesiderate (c.d. spam). Si segnalano, in particolare, (i) un provvedimento di ammonimento (cfr. Provvedimento del 19 maggio 2020, n. 90, [doc. web n. 9443795]) a seguito del reclamo pervenuto da un cliente che lamentava la ricezione di e-mail promozionali da parte di una società in tempi successivi rispetto al recesso dal programma fedeltà ed alla opposizione a ricevere ulteriori comunicazioni promozionali nonché (ii) un provvedimento (cfr. Ordinanza del 27 gennaio 2021, n. 37 [doc. web n. 9561833]), con il quale il Garante ha ingiunto una sanzione amministrativa pecuniaria di importo pari ad Euro 20.000,00, dopo aver accertato l’invio di comunicazioni commerciali indesiderate e in ragione dell’omessa informativa sul sito web della società titolare del trattamento, carente anche in relazione alle informazioni relative al DPO (Data Protection Officer), nonché per la mancata nomina e correlata comunicazione al Garante dei dati di contatto del medesimo.Con Provvedimento del 15 ottobre 2020, n. 181 [doc. web n. 9486485], l’Autorità si è poi espressa in merito all’idoneità di un consenso per finalità promozionali raccolto dieci anni addietro. Nel rilevare specifiche violazioni con riguardo al modulo di raccolta del consenso, è stato chiarito che il solo fattore temporale non è un parametro sufficiente, di per sé, per ritenere illecito il trattamento. Si è affermato che il consenso al trattamento dei dati personali per finalità promozionali deve innanzitutto considerarsi autonomo e non condizionato dall’esistenza o meno di un rapporto contrattuale e deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione però che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare. 

8. Conclusioni

La complessiva riforma della normativa in materia di protezione dati, avvenuta ad opera del GDPR, si caratterizza, come noto, per un più rigoroso assetto delle sanzioni amministrative pecuniarie che rappresentano un elemento centrale con il quale le autorità di controllo possono articolare le misure correttive a fronte delle violazioni poste in essere da parte dei titolari del trattamento.Oggi il Garante è l’unico organo competente ad avviare i procedimenti amministrativi sanzionatori a fronte dell’accertamento di possibili violazioni e ad irrogare le relative sanzioni.Nonostante la pandemia abbia penalizzato fortemente lo svolgimento delle attività ispettive in loco, il Garante ha comunque sottoposto a controllo i titolari dei trattamenti, inter alia, negli ambiti di seguito indicati:

• trattamenti di dati personali effettuati nel quadro dei servizi bancari online;
• trattamenti di dati personali effettuati da società per attività di marketing;
• trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a programmi di fidelizzazione;
• trattamenti di dati personali effettuati da società ed enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center;
• data breach.

Sono state così rilevate n. 87 possibili violazioni delle disposizioni del GDPR e del Codice Privacy nei confronti di n. 22 distinti soggetti, prevalentemente in relazione a trattamenti effettuati per finalità di marketing e profilazione, anche in relazione a minori di età.Il totale incassato nel 2020 sul capitolo del Tesoro per sanzioni comminate dal Garante è pari a Euro 38.448.895,38.

1. Il “certificato verde digitale”

La Commissione evidenzia che, ai sensi dell'articolo 21 del trattato sul funzionamento dell'Unione europea, ogni cittadino dell'Unione ha il diritto di circolare e di soggiornare liberamente nel territorio degli Stati membri dell'UE, fatte salve le limitazioni e le condizioni previste dai trattati e dalle disposizioni adottate in applicazione degli stessi.Tuttavia, le misure adottate dagli Stati membri dell’UE per contenere la pandemia da Covid-19 spesso sono consistite in restrizioni all'ingresso o in altri requisiti specifici applicabili ai viaggiatori transfrontalieri, come l'obbligo di quarantena o di autoisolamento o di sottoporsi a un test per l'infezione da SARS-CoV-2 prima e/o dopo l'arrivo.In tale contesto si inserisce la Proposta, con il fine di facilitare l'esercizio del diritto di circolare e di soggiornare liberamente nel territorio degli Stati membri e stabilire un quadro comune per il rilascio, la verifica e l'accettazione di certificati interoperabili relativi alla vaccinazione, ai test e alla guarigione dalla COVID-19, chiamato “certificato verde digitale”. 

2. Il certificato di vaccinazione

Come anticipato, il certificato verde digitale consente il rilascio, la verifica e l'accettazione transfrontaliere di uno qualunque dei seguenti certificati:a) un certificato comprovante che al titolare è stato somministrato un vaccino anti COVID-19 nello Stato membro di rilascio del certificato (“certificato di vaccinazione”);b) un certificato indicante il risultato per il titolare e la data di un test molecolare o di un test antigenico rapido, figurante nell'elenco comune e aggiornato dei test antigenici rapidi per la COVID-19 stabilito sulla base della raccomandazione 2021/C 24/01 del Consiglio^[2] ("certificato di test");c) un certificato comprovante che il titolare risulta guarito da un'infezione da SARS-CoV-2 successivamente a un test molecolare positivo o un test antigenico rapido positivo, figurante nell'elenco comune e aggiornato dei test antigenici rapidi per la COVID-19 stabilito sulla base della raccomandazione 2021/C 24/01 (“certificato di guarigione”).In particolare, la Proposta specifica che il certificato di vaccinazione dovrà contenere i seguenti dati personali:(a) nome: cognome(-i) e nome(-i), in quest'ordine;(b) data di nascita;(c) malattia o agente in questione;(d) vaccino/profilassi;(e) medicinale vaccinale;(f) titolare dell'autorizzazione all'immissione in commercio del vaccino o fabbricante del vaccino;(g) numero in una serie di vaccinazioni/dosi;(h) data di vaccinazione, indicante la data dell'ultima dose ricevuta;(i) Stato membro di vaccinazione;(j) soggetto che ha rilasciato il certificato;(k) identificativo univoco del certificato.Il tentativo intrapreso dall’UE con la Proposta è quello di rendere il certificato vaccinale e, più in generale, il certificato verde digitale uno strumento di promozione delle libertà, rispetto al quale occorre valutare l’impatto sulla protezione dei dati personali, assicurando sin da subito il rispetto dei principi di proporzionalità e non discriminazione, tanto più cogenti in quanto si è in presenza di dati – quelli sanitari – che esigono, per la loro sensibilità, un più ampio grado di tutela. 

3. Quali implicazioni sulla protezione dei dati personali?

Pare opportuno rammentare, infatti, che il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (il “GDPR”) si applica al trattamento dei dati personali effettuato nel quadro della Proposta.Ebbene, con riferimento al trattamento dei dati personali effettuato al fine del rilascio dei certificati in questione, la Proposta fornisce la base giuridica per il trattamento dei dati personali necessari per rilasciare tali certificati e per il trattamento delle informazioni necessarie per comprovare e verificare l'autenticità e la validità di tali certificati.A tale riguardo, il Considerando 37 della Proposta individua la base giuridica per il trattamento dei dati personali ai sensi dell'articolo 6, paragrafo 1, lettera c) del GDPR (i.e., trattamento necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento), e dell'articolo 9, paragrafo 2, lettera g) del GDPR (i.e., il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato), in quanto necessario per il rilascio e la verifica dei certificati interoperabili previsti dalla Proposta. [3]La Commissione specifica, inoltre, che secondo il principio della minimizzazione, è opportuno che i certificati contengano soltanto i dati personali necessari per agevolare l'esercizio del diritto di libera circolazione all'interno dell'Unione durante la pandemia di Covid-19, evidenziando la necessità di stabilire le specifiche categorie di dati personali e i campi di dati da inserire nei certificati, con un sistema di verifica decentrato, che non importi la conservazione delle risultanze dell’accertamento, e limitato al permanere della condizione di emergenza come dichiarata dall’Oms. La Commissione, infatti, chiarisce che la Proposta non crea una base giuridica che autorizzi lo Stato membro di destinazione, o gli operatori di servizi di trasporto passeggeri transfrontalieri tenuti, a norma del diritto nazionale, ad attuare determinate misure di sanità pubblica durante la pandemia di COVID-19, a conservare i dati personali ottenuti dal certificato.In particolare, al fine di consentire il rilascio e la verifica sicuri dei certificati, ai sensi dell’art. 4 della Proposta, la Commissione e gli Stati membri dovranno istituire e mantenere un'infrastruttura digitale del quadro di fiducia (c.d. “trust framework”). Tale quadro di fiducia garantirà, ove possibile, l'interoperabilità con i sistemi tecnologici istituiti a livello internazionale.I dati personali, inoltre, potranno essere trasmessi o scambiati a livello transfrontaliero con il solo scopo di ottenere le informazioni necessarie per comprovare e verificare lo stato di vaccinazione, test o guarigione del titolare.Infine, la Proposta prevede che le autorità competenti per il rilascio dei certificati in questione sono considerate titolari del trattamento ai sensi dell'articolo 4, punto 7, del GDPR. 

4. Il parere congiunto EDPS/EDPB

Con un parere congiunto (04/2021 del 31 marzo)^[4], l’European Data Protection Board (l’“EDPB”) e l’European Data Protection Supervisor (l’“EDPS”) hanno suggerito alcuni significativi interventi che di seguito si illustreranno:

• anzitutto, per evitare discriminazioni fondate sulla condizione sanitaria della persona si chiede di chiarire l’obbligo per gli Stati membri di accettare tutte e tre le tipologie di certificati verdi digitali – ivi incluso il certificato vaccinale – nonché l’illiceità di ogni uso del certificato verde suscettibile di determinare, anche solo de facto, un trattamento in tal senso discriminatorio o comunque sproporzionato rispetto al fine perseguito;
• si sottolinea l’esigenza che le norme nazionali che eventualmente legittimino usi ulteriori del certificato verde digitale circoscrivano in maniera puntuale l’ambito e gli scopi del trattamento [5];
• si richiede poi che la norma europea definisca meglio lo scopo del certificato verde digitale e introduca un meccanismo per il monitoraggio del suo utilizzo da parte degli Stati Membri oltre all’introduzione di adeguate misure tecniche e organizzative contro la falsificazione dei certificati e ogni altro tipo di abuso, soprattutto riguardo ai dati appartenenti a categorie “particolari” [6] e a quelli soggetti a decisioni automatizzate;
• si richiede inoltre di precisare ulteriormente, anche con una specifica sunset-clause, l’illegittimità dell’accesso ai dati contenuti nei certificati una volta cessata l’emergenza pandemica e di escludere, che con atto delegato della Commissione il sistema del certificato verde digitale possa essere riattivato a seguito di sospensione per cessate esigenze, in presenza di un’ulteriore dichiarazione di sussistenza di pandemia da Sars-Cov-2, sue varianti o malattie infettive simili con potenziale epidemico;
• si chiede di chiarire se sia subordinata all’istanza di parte la creazione di per sé del certificato o soltanto il suo rilascio e, per escludere effetti discriminatori, si suggerisce di obbligare gli Stati, con una dizione normativa rafforzata rispetto all’attuale, a rilasciare il certificato in forma cartacea oltre che digitale, nonché di limitare, ove tecnicamente possibile, le tecniche di verifica a quelle che non implichino trasmissione di dati personali;
• quanto alle categorie di dati utilizzate, si chiede di motivare meglio, nel preambolo, le ragioni che rendano necessaria la raccolta di informazioni di dettaglio quali ad esempio il prodotto vaccinale utilizzato, il titolare dell'autorizzazione all'immissione in commercio del vaccino o il produttore e il numero delle vaccinazioni o delle dosi vaccinali somministrate, precisando che le modifiche suscettibili di essere apportate con atti delegati della Commissione debbano limitarsi ad operare all’interno delle sottocategorie del catalogo di dati previsto in allegato;
• si ritiene inoltre preferibile demandare ad atto esecutivo della Commissione l’individuazione dei soli dettagli tecnici delle misure per la sicurezza del trattamento, indicando già in proposta, innalzandone così la fonte, l’obbligo per titolari e responsabili di adottare misure tecniche e organizzative adeguate al rischio implicato dal trattamento;
• analogamente, a fronte della possibilità rimessa alla Commissione di introdurre, con proprio atto esecutivo, specificazioni sul rapporto tra titolari e responsabili del trattamento ai fini della ripartizione delle relative responsabilità, si auspica che gli Stati membri rendano pubblica una lista dei soggetti coinvolti nel trattamento, al fine di consentire l’effettività dell’esercizio dei diritti da parte degli interessati, nel rispetto del principio di trasparenza;
• si auspica inoltre una più puntuale definizione dei periodi massimi di conservazione dei dati funzionali al rilascio del pass, o in subordine i criteri in base ai quali definirli, comunque non oltrepassando la fine della pandemia;
• si suggerisce infine di precisare meglio le condizioni di legittimità e le garanzie per il trasferimento dei dati all’estero, assicurandone l’utilizzo esclusivamente per i fini sanciti dalla Proposta.

Si tratta di osservazioni volte a un complessivo, ulteriore perfezionamento di proposte che, tuttavia, sottendono già un adeguamento bilanciamento tra protezione dei dati personali, esigenze di sanità pubblica e libertà di circolazione dimostrando, ancora una volta, come la disciplina di protezione dati rappresenti un presupposto, sempre più rilevante, per un governo sostenibile dell’innovazione tanto quanto dell’emergenza. 

5. L’intervento del Garante Privacy

Sul tema dei certificati vaccinali e delle relative implicazioni privacy si è espressa anche l’Autorità Garante per la protezione dei dati personali (il “Garante Privacy”). Il Garante Privacy evidenzia come i dati relativi allo stato vaccinale siano dati particolarmente delicati e un loro trattamento non corretto possa determinare conseguenze gravissime per la vita e i diritti fondamentali delle persone. Tali conseguenze, nel caso dell’implementazione di soluzioni, anche digitali (es. app), per rispondere all’esigenza di rendere l’informazione sull’essersi o meno vaccinati come condizione per l’accesso a determinati locali o per la fruizione di taluni servizi (es. aeroporti, hotel, stazioni, palestre ecc.) possono tradursi in discriminazioni, violazioni e compressioni illegittime di libertà costituzionali.A tale proposito, nel caso si intenda far ricorso alle predette soluzioni, il Garante per la privacy richiama l’attenzione dei decisori pubblici e degli operatori privati italiani sull’obbligo di rispettare la disciplina in materia di protezione dei dati personali.Il Garante Privacy ritiene, pertanto, che il trattamento dei dati relativi allo stato vaccinale dei cittadini a fini di accesso a determinati locali o di fruizione di determinati servizi, debba essere oggetto di una norma di legge nazionale, conforme ai principi in materia di protezione dei dati personali (in particolare, quelli di proporzionalità, limitazione delle finalità e di minimizzazione dei dati).In assenza di tale eventuale base giuridica normativa l’utilizzo in qualsiasi forma, da parte di soggetti pubblici e di soggetti privati fornitori di servizi destinati al pubblico, di app e pass destinati a distinguere i cittadini vaccinati dai cittadini non vaccinati, a parere del Garante Privacy, sarebbe da considerarsi illegittimo.In questo contesto si inserisce il Decreto Legge del 22 aprile 2021, n. 52 (c.d. Decreto Riaperture), il quale prevede l’introduzione, sul territorio nazionale, delle cosiddette “certificazioni verdi Covid-19”, comprovanti lo stato di avvenuta vaccinazione contro il SARS-CoV-2 o la guarigione dall’infezione o l’effettuazione di un test molecolare o antigenico rapido con risultato negativo.In particolare, si prevede che le certificazioni di vaccinazione e quelle di avvenuta guarigione avranno una validità di sei mesi, quella relativa al test risultato negativo sarà valida per 48 ore. Le certificazioni rilasciate negli Stati membri dell’Unione europea saranno riconosciute come equivalenti, così come quelle rilasciate in uno Stato terzo a seguito di una vaccinazione riconosciuta nell’Unione europea.Tuttavia, come anche ribadito dal Garante Privacy, dal testo del Decreto Riaperture si deduce che la questione privacy verrà trattata in un DPCM successivo, dal momento che il decreto si limita a stabilire la necessità del pass e a definirne gli spazi applicativi, ma non l’impostazione sotto il profilo della privacy.A detta del Garante Privacy, tuttavia, “è difficile discutere di proporzionalità dei dati trattati, di misure di sicurezza, o di tempi di conservazione rispetto a un decreto-legge che, al momento, manca di qualsiasi esercizio di disciplina in relazione a questi aspetti" [7]. In altri termini, vi sono una serie di nodi cruciali dal punto di vista privacy che andrebbero discussi e valutati prima di cominciare ad utilizzare il certificato. 

6. Conclusioni

In conclusione, pare evidente come la protezione dei dati non costituisca un ostacolo per combattere la pandemia da Covid-19, né tantomeno per implementare soluzioni come il certificato vaccinale e, più in generale, il certificato verde digitale.Si rende necessario, tuttavia, prevedere soluzioni pienamente in linea con la legislazione europea sulla protezione dei dati personali non solo per la certezza del diritto, ma anche per evitare che la proposta abbia l'effetto di compromettere direttamente o indirettamente il diritto fondamentale alla protezione dei dati personali.In questo senso, sarebbe auspicabile che la normativa europea garantisca un giusto equilibrio tra gli obiettivi di interesse generale perseguiti dal certificato verde digitale e l'interesse individuale all'autodeterminazione, così come il rispetto dei diritti fondamentali alla privacy, alla protezione dei dati e alla non discriminazione, e di altre libertà fondamentali come la libertà di movimento e di residenza.Allo stesso tempo, l’esigenza di garantire il rispetto dei principi fondamentali di accuratezza, necessità e proporzionalità nel trattamento dei dati, e di attenuare i rischi per i diritti fondamentali degli interessati, compresi i rischi di ulteriori (non normati) utilizzi del certificato verde digitale, nonché di discriminazione diretta e/o indiretta, richiede che il trattamento dei dati contenuti nei certificati vaccinali per fini ulteriori rispetto a quello di garantire la libera circolazione delle persone sia oggetto di una specifica norma di legge nazionale, conforme ai principi in materia di protezione dei dati personali, al fine di realizzare un equo bilanciamento tra l’interesse pubblico che si intende perseguire e l’interesse individuale alla riservatezza.Per dirla con il Garante Privacy, “tutti quanti vogliamo e speriamo di poterci tornare a muovere presto, però non vogliamo neanche che il prezzo da pagare per tornare a muoverci sia una sostanziale espropriazione della privacy”. [8] l contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Ilaria Todaro e Claudia Colamonaco.  [1] La proposta di Regolamento del Parlamento Europeo e del Consiglio è disponibile al seguente link: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0130[2] Raccomandazione del Consiglio relativa a un quadro comune per l'uso e la convalida dei test antigenici rapidi e il riconoscimento reciproco dei risultati dei test per la COVID-19 nell'UE 2021/C 24/01 (GU C 24 del 22.1.2021, pag. 1).[3] La Proposta non disciplina, infatti, il trattamento dei dati personali relativi alla documentazione di una vaccinazione, di un test o di una guarigione per altri fini, ad esempio a fini di farmacovigilanza o per la conservazione di cartelle cliniche individuali. La base giuridica del trattamento ad altri fini dovrà, pertanto, essere stabilita dalle legislazioni nazionali, che devono essere conformi alla normativa dell'Unione in materia di protezione di dati.[4] Il testo del parere congiunto è disponibile al seguente link: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_edps_joint_opinion_dgc_en.pdf[5] A parere dei due board, in effetti, l'estensione dell'applicazione del certificato verde digitale ad altre situazioni per allentare le restrizioni attualmente in vigore è già stata suggerita e gli Stati membri potrebbero prevedere di introdurlo come requisito de facto, ad esempio per entrare in negozi, ristoranti, club, luoghi di culto o palestre o per utilizzarlo in qualsiasi altro contesto come quello lavorativo. Qualsiasi ulteriore uso del certificato verde digitale e del suo quadro, determinato in base ad una legge nazionale non dovrebbe provocare una discriminazione basata sull'essere stati (o non essere stati) vaccinati o guariti dal Covid-19. Per questo motivo, i due organi sottolineano che ogni eventuale ulteriore utilizzo del certificato verde digitale e dei dati personali ad esso correlati a livello di Stati membri deve essere conforme al GDPR. Ciò implicherebbe la necessità di una base giuridica adeguata nel diritto degli Stati membri, che rispetti i principi di efficacia, necessità, proporzionalità e che includa garanzie forti e specifiche attuate a seguito di un'adeguata valutazione d'impatto, in particolare per evitare qualsiasi rischio di discriminazione e per vietare qualsiasi conservazione dei dati nel contesto del processo di verifica.[6] I dati appartenenti a categorie particolari sono quelli di cui all’art. 9, comma 1, del GDPR, vale a dire, i “dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”.[7] Così si è espresso Guido Scorza, Componente del Garante per la protezione dei dati personali in un’intervista per Open online, 22 aprile 2021.[8] Ibidem.

• 59.838 comunicazioni dei dati di contatto dei DPO,
• 27.192 reclami e segnalazioni e
• 3.873 notifiche di violazioni dei dati personali (c.d. Data Breach).

Tre anni dopo la sua entrata in applicazione, il GDPR può essere globalmente considerato un successo, tuttavia, la sfida è ancora lunga: si dovrà continuare a porre l'accento sul miglioramento dell'attuazione e sulle azioni volte a rafforzare l'applicazione della normativa privacy nonché sulla necessità di un’applicazione rigorosa ed efficace del GDPR e di un’aumentata consapevolezza della gestione dei dati personali, della loro fondamentale importanza nella società dell’informazione, di una maggiore “maturità digitale” da parte degli interessati e di una crescente responsabilizzazione dei titolari delle piattaforme digitali, delle imprese integrate e di altri servizi digitali di grandi dimensioni, in particolare nei settori della pubblicità online, del micro-targeting, della profilazione algoritmica, della scienza e della genomica, della classificazione, della diffusione e dell'amplificazione dei contenuti.In conclusione, il GDPR ha raccolto notevole interesse e attenzione alla luce del boom del mercato digitale e dei big data. Le Istituzioni europee hanno superato con lungimiranza il regime giuridico in materia di privacy a dir poco frastagliato tra uno stato membro e l’altro. Il GDPR rappresenta sicuramente una rivoluzione nel Diritto alla Privacy dell’Unione Europea. Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Marco Cappa e Claudia Colamonaco.

Come noto, dal 1° gennaio 2021 il Regno Unito ha lasciato definitivamente l’Unione europea (l’“UE”), essendosi completato il processo cosiddetto di “Brexit”.Pertanto, il Regno Unito, ai fini della disciplina sulla protezione dei dati e dell’applicazione del Regolamento (UE) n. 2016/679 (il “GDPR”) diventa, per effetto della Brexit, un Paese Terzo ed il trasferimento dei dati personali verso il Regno Unito diviene soggetto alle disposizioni del GDPR che regolano il trasferimento dei dati personali verso Paesi Terzi.Si rammenta, infatti, che il GDPR si applica anche al trattamento dei dati personali effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’UE quando le attività di trattamento riguardano:

a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’UE, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure

b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’UE[1]. Tale previsione del GDPR mira infatti ad assicurare una tutela globale dei diritti degli interessati nell’UE e di stabilire, in termini di requisiti sulla protezione dei dati, una parità di condizioni per le imprese attive sui mercati UE, in un contesto caratterizzato da flussi di dati su scala mondiale.

2. La nota informativa dell’EDPB

L’EDPB, nella sua “Information note on data transfers under the GDPR to the United Kingdom after the transition period” adottata il 15 dicembre 2020, e successivamente modificata il 13 gennaio 2020[2] chiarisce che, per quanto riguarda i flussi di dati personali verso il Regno Unito, che per effetto della Brexit è diventato un Paese Terzo, bisogna fare riferimento all’Accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 fra Regno Unito e UE (l’“Accordo”)[3].Tale Accordo prevede, tra l’altro, che il Regno Unito continui ad applicare il GDPR per un ulteriore periodo di massimo 6 mesi (quindi fino al 30 giugno 2021).Di conseguenza, in questo periodo, qualsiasi comunicazione di dati personali verso il Regno Unito potrà avvenire secondo le medesime regole valevoli al 31 dicembre 2020 e non sarà considerata un trasferimento di dati verso un Paese Terzo.Tuttavia, questo significa che, dopo il 30 giugno 2021 ogni trasferimento di dati personali dall’UE al Regno Unito potrà considerarsi legittimo soltanto se effettuato in ottemperanza a quanto previsto nel Capo V del GDPR, vale a dire in presenza di una decisione della Commissione europea (art. 45 del GDPR) ovvero delle altre garanzie adeguate previste dall’art. 46 del GDPR (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta, etc.) per trasferire dati dall’UE (più esattamente dal SEE, lo Spazio Economico Europeo) verso un Paese Terzo non adeguato, oppure in presenza delle deroghe che l’art. 49 del GDPR ammette in assenza di garanzie adeguate (consenso esplicito dell’interessato, interesse pubblico di uno Stato membro del SEE, etc.), ma solo in via residuale e secondo un approccio molto restrittivo.Inoltre, l’EDPB invita a considerare che, in ottemperanza alle “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data” qualora i dati personali siano trasferiti nel Regno Unito sulla base delle garanzie di cui all’articolo 46 del GDPR (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta, etc.), i titolari e i responsabili del trattamento potrebbero essere chiamati ad adottare eventuali misure supplementari di tali garanzie di trasferimento per garantire un livello di protezione dei dati personali trasferiti sostanzialmente equivalente a quello garantito nello Spazio Economico Europeo (il “SEE”), nel caso in cui la legge del Regno Unito non garantisca l’effettivo rispetto di tale livello di protezione. Giova, infatti, ricordare, che le Recommendations 01/2020 sopra citate sono state adottate dall’EDPB[4] in seguito alla nota sentenza “Schrems II” della Corte di Giustizia dell’Unione Europea[5] al fine di assistere i titolari e i responsabili del trattamento che agiscono in qualità di data exporter verso Paesi Terzi, i quali, a seguito della sentenza Schrems II, sono tenuti a verificare, caso per caso, se la legge del Paese Terzo garantisce un livello di protezione dei dati personali trasferiti sostanzialmente equivalente a quello garantito nel SEE e ad adottare eventuali misure supplementari/integrative delle garanzie di trasferimento previste dal Capo V del GDPR per garantire l’effettivo rispetto di tale livello di protezione, qualora le sole garanzie di trasferimento non siano sufficienti. A tal fine, le Recommendations 01/2020 descrivono efficacemente le attività che i titolari e i responsabili devono eseguire, sulla base dei principi espressi dalla citata sentenza Schrems II, inizialmente, per mappare il complesso dei trasferimenti effettuati al di fuori del SEE e, in seguito, per valutare la necessità o meno di adottare misure supplementari per trasferire i dati conformemente al diritto dell'UE, a maggior tutela dei soggetti interessati.Infine, l’EDPB rammenta che, in caso di trasferimento, in ogni caso, i titolari e/o i responsabili del trattamento dovranno ottemperare anche ad altri obblighi derivanti dal GDPR, con particolare riferimento alla necessità di aggiornare i registri delle attività di trattamento (art. 30 del GDPR) e le informative sul trattamento dei dati personali (artt. 13 e 14 del GDPR) al fine di menzionare i trasferimenti di dati verso il Regno Unito. 

3. I chiarimenti del Garante Privacy

In aggiunta a quanto evidenziato dall’EDPB, il Garante Privacy rileva[6] che dal 1° gennaio 2021 i titolari e i responsabili del trattamento con sede nel Regno Unito che siano soggetti all’applicazione del GDPR sono tenuti a designare un “rappresentante” nel SEE a norma dell’art. 27 del GDPR.In particolare, trattasi di una figura incaricata dal titolare del trattamento o dal responsabile del trattamento a fungere da interlocutore, in aggiunta o in sostituzione del titolare del trattamento o del responsabile del trattamento, in particolare delle autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento al fine di garantire il rispetto del GDPR.Con riferimento, infine, ad eventuali contenziosi o reclami transfrontalieri in materia di protezione dei dati con titolari o responsabili del trattamento stabiliti nel Regno Unito, dal 1° gennaio 2021 al Regno Unito in quanto Paese Terzo non sarà più applicabile il meccanismo dello “sportello unico” (c.d. one stop shop) che disciplina questi contenziosi fra i Paesi del SEE[7].In altri termini, le imprese con sede nel Regno Unito non potranno più beneficiare della possibilità di rapportarsi con un’unica Autorità “capofila” (ossia, l’Autorità competente per lo stabilimento principale o unico nel SEE) per i vari obblighi previsti dal GDPR. Per poter continuare a godere dei benefici dello sportello unico, dovrebbero infatti individuare un nuovo stabilimento principale in uno Stato membro del SEE.Infine, il Garante Privacy ribadisce, in ogni caso, la possibilità per gli interessati che si trovino all’interno del territorio italiano - ed i cui dati sono trattati per l’offerta di beni e servizi o per il monitoraggio del loro comportamento da parte di titolari stabiliti nel Regno Unito - di rivolgersi al Garante Privacy per la tutela dei loro diritti. 

4. Possibili sviluppi futuri

Pertanto, anche alla luce dell’impegno assunto dalla Commissione europea e dal Governo UK in base all’Accordo, si auspica che le stesse lavorino, entro il termine di scadenza del periodo “transitorio” sopra ricordato (vale a dire, il 30 giugno 2021), su reciproche decisioni di adeguatezza che consentano di proseguire i flussi di dati dall’UE al Regno Unito senza interruzioni.Se così non fosse, infatti, ai trasferimenti di dati si applicheranno tutte le disposizioni del Capo V del GDPR, con tutte le conseguenze del caso.  Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Paolo Gallarati, Ilaria Todaro e Claudia Colamonaco.   [1] Articolo 3 del GDPR.[2] L’“Information note on data transfers under the GDPR to the United Kingdom after the transition period” dell’EDPB è scaricabile al seguente link: https://edpb.europa.eu/our-work-tools/our-documents/other/information-note-data-transfers-under-gdpr-united-kingdom-after_en.[3] L’Accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 fra Regno Unito e UE è scaricabile al seguente link: https://ec.europa.eu/info/relations-united-kingdom/eu-uk-trade-and-cooperation-agreement_en. Tale Accordo ha carattere provvisorio, in attesa della pronuncia da parte del Parlamento europeo e della successiva adozione formale da parte del Consiglio dell'UE, per l'entrata in vigore definitiva.[4] Si rammenta che il 21 dicembre 2020 si è chiusa la consultazione pubblica relativa alle Recommendations 01/2020 di cui si attende, ad oggi, la pubblicazione in via definitiva, in seguito alla quale esse saranno immediatamente applicabili.[5] Come noto, con la sentenza c.d. Schrems II, la Corte di Giustizia dell’Unione Europea ha esaminato la validità della Decisione 2016/1250 sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA (cd. “Privacy Shield”), dichiarandone l’invalidità.[6] La nota del Garante Privacy è consultabile al seguente link: https://www.garanteprivacy.it/temi/trasferimento-dati-estero#brexit.[7] Il meccanismo dello sportello unico (c.d. one-stop-shop), introdotto per la prima volta con il GDPR, permette ad un’Autorità (c.d. Autorità capofila) di rendere un’unica decisione in caso di trattamenti da parte di uno stesso organo in più Stati membri. L’articolo 56, paragrafo 1, del GDPR, infatti, stabilisce che “l'autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all'articolo 60”. A sua volta, l’articolo 60 del GDPR detta una procedura specifica di cooperazione tra le Autorità di controllo interessate e l’Autorità di controllo capofila. Essa ha l’obbligo di comunicare alle Autorità interessate le informazioni utili sulla questione così come quello di presentare un progetto di decisione per ottenere il loro parere. L’Autorità capofila può altresì richiedere la collaborazione delle Autorità interessate. Entro uno specifico termine, le Autorità interessate possono presentare obiezioni riguardo al progetto di decisione. In tal caso, l’Autorità capofila presenterà una nuova decisione che tenga conto delle obiezioni oppure, se non riterrà le obiezioni motivate o pertinenti, attiverà il meccanismo di coerenza di cui all’articolo 63 del GDPR ovvero potrà adire l’EDPB.

1. Ebbene, nel rammentare che le raccomandazioni sono indirizzate sia ai titolari del trattamento, sia ai responsabili che intendano individuare eventuali sub-responsabili, il primo step individuato è mappare tutti i trasferimenti di dati personali che il titolare compie verso i Paesi Terzi [7]. Tale attività potrebbe risultare particolarmente complessa, soprattutto quando si è in presenza di una serie di soggetti designati quali responsabili e sub-responsabili del trattamento, ma costituisce un primo passo fondamentale da compiere in ossequio al principio di accountability. Proprio in ragione di tale complessità, in questa fase potrà essere d’aiuto il registro dei trattamenti predisposto dal titolare ai sensi dell’art. 30 del GDPR. Infine, si evidenzia come in questa fase, il titolare dovrà necessariamente valutare il rispetto del principio di minimizzazione insieme all’eventuale esistenza di sub-responsabili in Paesi extra UE.
2. Successivamente alla mappatura appena descritta, occorre poi individuare lo strumento giuridico che si sta impiegando per il trasferimento tra quelli elencati nel Capo V del GDPR [8]. A tale riguardo, l’EDPB chiarisce che in presenza di una decisione di adeguatezza della Commissione Europea, che certifichi che il Paese Terzo garantisce un livello adeguato di protezione ai dati personali che saranno trasferiti, non sarà necessario proseguire oltre nella valutazione ed il trasferimento si considererà legittimo, fatta salva la necessità per il titolare di monitorare la decisione al fine di verificare che non intervengano revoche o invalidazioni della stessa. [9]
3. Ebbene, in assenza di una decisione di adeguatezza, il terzo step individuato dall’EDPB impone al titolare di valutare se lo strumento giuridico impiegato per il trasferimento è efficace [10] rispetto al trasferimento che si vuole effettuare. In altri termini, occorre valutare se esistano leggi o prassi del Paese Terzo che potrebbero incidere sull’efficacia ed effettività delle garanzie adeguate di cui all’art. 46 GDPR che legittimano il trasferimento. A tale riguardo, l’EDPB invita il titolare a considerare l’ipotesi in cui la legislazione del Paese Terzo consenta l’accesso ai dati personali da parte delle autorità pubbliche per finalità di sorveglianza. Ebbene, nell’ipotesi in cui tale legislazione sia ambigua o non disponibile al pubblico, l’analisi della legislazione dovrà tenere conto di fattori oggettivi e rilevanti e, infine, dovrà includere i controlli necessari ed essere documentata secondo il principio di accountability.

Arrivati a questo punto, se il titolare del trattamento (o il responsabile del trattamento) valuta che non vi siano interferenze e che lo strumento giuridico alla base del trasferimento sia efficace, il titolare (o il responsabile del trattamento) non dovrà adottare misure supplementari e potrà continuare o iniziare a traferire dati personali verso il Paese Terzo. Diversamente, si tratterà di identificare le misure aggiuntive che è necessario adottare per garantire un livello di protezione adeguato.

4. Laddove, invece, la valutazione di cui allo step precedente individui degli ostacoli all’efficacia delle garanzie adeguate, il titolare sarà chiamato ad adottare misure supplementari (integrative) al trasferimento che assicurino agli interessati una protezione equivalente a quella loro riconosciuta all’interno dell’UE. Per questo step, si dovrà tenere conto dell’Allegato 2 alle raccomandazioni che fornisce un elenco non esaustivo di tali misure. Tali misure supplementari potranno essere tecniche (come ad esempio: la crittografia, la separazione del trattamento, la pseudonimizzazione, etc.), contrattuali (come ad esempio: la trasparenza degli obblighi, i diritti delle persone, etc.) ed organizzative (come ad esempio: le policies interne, la trasparenza, etc.). In ogni caso, le misure supplementari potranno riguardare diversi fattori, quali: il formato dei dati, la natura dei dati, la complessità del percorso dei dati, il numero di attori coinvolti, i trasferimenti successivi, etc.

Nel caso in cui, nonostante l’adozione delle misure supplementari, il trasferimento dei dati non assicuri garanzie adeguate per gli interessati, il titolare dovrà astenersi dal trasferire i dati, ovvero, qualora già in atto, sospendere il trasferimento medesimo.

5. Nell’ipotesi in cui, invece, l’adozione di misure supplementari si riveli sufficiente ad assicurare agli interessati una protezione equivalente a quella loro riconosciuta all’interno dell’UE, a seconda dello strumento giuridico utilizzato a garanzia del trasferimento, sarà necessario implementare le procedure formali eventualmente richieste dalle misure supplementari che si intendono adottare. [11]
6. Da ultimo, sarà opportuno monitorare, aggiornare e verificare periodicamente che le misure adottate restino efficaci nel corso del tempo [12].

Infine, l’EPDB chiarisce che i data exporter devono documentare il processo di valutazione sopra descritto, in quanto “responsabili” delle decisioni che assumono, in linea con il principio di accountability. 4.Contenuto delle Raccomandazioni 02/2020Complementari a quelle sinora descritte, sono invece le “Recommendations 02/2020 on the European Essential Guarantees for surveillance measurers”.Le raccomandazioni sulle garanzie essenziali [13] europee forniscono ai data exporter elementi utili a stabilire se il quadro giuridico che disciplina l'accesso delle autorità pubbliche ai dati personali nei Paesi Terzi per fini di sorveglianza configuri un’ingerenza giustificata nei diritti alla vita privata e alla protezione dei dati personali, e quindi non sia in contrasto con gli impegni assunti dall’esportatore e dall’importatore attraverso lo strumento di trasferimento utilizzato fra quelli di cui all'articolo 46 del GDPR. 5.Soluzioni pratiche per il trasferimento dei dati personali negli Stati UnitiAlla luce di quanto sopra esposto e per tirare le fila del discorso, cosa fare se ci si avvale delle SCC con un importatore di dati negli Stati Uniti?Ebbene, la CGUE ha rilevato che la normativa degli Stati Uniti non garantisce un livello di protezione sostanzialmente equivalente.Pertanto, come anche chiarito dall’EDPB [14], la possibilità o meno di trasferire dati personali sulla base delle SCC dipende dall'esito della valutazione che il data exporter dovrà compiere, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari unitamente alle SCC, alla luce di un'analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l'adeguato livello di protezione garantito dalle SCC e dalle misure supplementari stesse.Se si è giunti alla conclusione che, tenuto conto delle circostanze del trasferimento e delle eventuali misure supplementari, non vi sarebbero adeguate garanzie, occorre sospendere o porre fine al trasferimento di dati personali. Tuttavia, se si intende continuare ciononostante a trasferire i dati, occorre informarne l’autorità di controllo competente.Occorre poi capire e, conseguentemente valutare, caso per caso, che succede se il trasferimento trovi la sua condizione di legittimità sulla base degli altri strumenti di trasferimento previsti dall’art. 46 GDPR o si basi su una delle deroghe di cui all’art. 49 GDPR.In ogni caso, occorre considerare che, nel caso in cui il trasferimento si basi sulle SCC, l’art. 6 della bozza di decisione della Commissione Europea, sottoposta a consultazione pubblica, con i modelli di SCC integrati sulla base della decisione della CGUE [15] stabilisce che, per il periodo di un anno dall’entrata in vigore della decisione e delle nuove SCC, esportatore ed importatore dei dati potranno continuare a far affidamento sulle precedenti clausole, stabilite con la Decisione 2001/497/EC e aggiornate con la 2010/87/EU, per dare esecuzione al contratto concluso prima dell’entrata in vigore della decisione.In questo lasso di tempo, il contratto fra le parti potrà essere però integrato con le misure supplementari necessarie ad assicurare che il trasferimento avvenga con le adeguate garanzie ed in sicurezza.In conclusione, è evidente come l’EDPB rimetta all'esportatore e all'importatore di dati, la valutazione se il livello di protezione richiesto dal diritto dell'UE sia rispettato nel Paese Terzo al fine di determinare se le garanzie fornite dagli strumenti giuridici prescelti possano essere rispettate nella pratica, con la conseguenza che, soltanto nel caso in cui detto livello non possa essere rispettato, occorrerà valutare se sia possibile prevedere misure supplementari per garantire un livello di protezione sostanzialmente equivalente a quello previsto nel SEE.Le misure supplementari, in altri termini, potranno colmare la lacuna, laddove lo strumento di trasferimento individuato tra quelli dell'articolo 46 del GDPR da solo non riesca a garantire un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto nel SEE, sempre se la legislazione del Paese Terzo non consenta ingerenze nei riguardi delle suddette misure supplementari tali da comprometterne di fatto l'efficacia [16]. Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare il vostro professionista di riferimento.  [1] Decisione 2016/1250 sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.[2] È possibile trovare il testo integrale della sentenza al seguente link: http://curia.europa.eu/juris/documents.jsf?num=C-311/18.[3] Tutti i titolari o i responsabili del trattamento avrebbero potuto nel breve periodo:

• rivalutare la necessità di trasferire i dati personali oltreoceano e considerare la possibilità di sostituire i fornitori con sede negli Stati Uniti con fornitori stabiliti nell’UE o di conservare i dati presso uno stabilimento all’interno dell’UE;
• basare i trasferimenti di dati personali sulle SCC, dopo aver stabilito una procedura per valutare il livello di protezione dei dati nel paese o territorio in cui tali dati sono trasferiti e imporre misure tecniche e organizzative adeguate a tale livello di protezione;
• fare affidamento sul consenso esplicito degli interessati, sulla base delle indicazioni del Data Protection Board;

mentre, nel medio-lungo termine:

• per i gruppi multinazionali, definire delle norme vincolanti d’impresa e sottoporle all’approvazione delle autorità competenti ai sensi e per gli effetti dell’articolo 47 del GDPR; oppure
• attendere l’emanazione di codici di condotta o di meccanismi di certificazione e poi aderirvi.

[4] Nella maggior parte dei casi, le società con sede negli Stati Uniti che non aderiscono al Privacy Shield hanno basato i flussi di dati personali provenienti dall’UE sulle SCC. Le SCC consistono in set di clausole “tipo” che l’esportatore e l’importatore di dati personali sottoscrivono, allo scopo di assicurare, attraverso obblighi contrattuali conformi alle disposizioni del GDPR, un livello di protezione adeguato ai dati personali che lasciano lo Spazio economico europeo. La Commissione Europea ha approvato, sino ad ora, fino a tre set di clausole contrattuali tipo: due per i trasferimenti di dati dai titolari del trattamento stabiliti nell’UE ai titolari del trattamento stabiliti al di fuori dell’UE o del SEE e una per i trasferimenti di dati dai titolari del trattamento stabiliti nell’UE ai responsabili del trattamento stabiliti al di fuori dell’UE o del SEE. Non sono state ancora emesse SCC relative al trasferimento da un responsabile del trattamento stabilito nell’UE a un titolare del trattamento stabilito al di fuori dell’UE né relative al trasferimento da responsabili del trattamento (o sub-responsabili) stabiliti nell’Unione Europea a responsabili del trattamento (o sub-responsabili) stabiliti al di fuori dell’UE. A tale riguardo, il 12 novembre u.s., la Commissione Europea ha pubblicato la bozza di decisione, sottoposta a consultazione pubblica sino alla mezzanotte del 10 dicembre 2020 (ora di Bruxelles), con i modelli di SCC integrati sulla base della decisione della CGUE, che abroga la Decisione 2001/497/EC e la Decisione 2010/87/EU. In particolare, i modelli allegati alla bozza attualmente in discussione disciplinano quattro tipologie di trasferimenti: (i) trasferimento da titolare a titolare; (ii) trasferimento da titolare a responsabile; (iii) trasferimento da responsabile a responsabile; (iv) trasferimento da responsabile a titolare.[5] Le Raccomandazioni 01/2020 sono sottoposte a consultazione pubblica fino al 21 dicembre 2020 e saranno applicabili immediatamente dopo la loro pubblicazione.[6] Secondo il principio di accountability, infatti, previsto all’interno del GDPR, è onere del titolare del trattamento quello di essere in condizione in ogni momento di dimostrare il rispetto della disciplina in materia di trattamento dei dati personali.[7] A tale riguardo, l’EDPB precisa che anche l’accesso remoto da un Paese Terzo (in caso di supporto) e/o l’archiviazione in un cloud situato al di fuori del SEE debba essere considerato un trasferimento extra UE.[8] Ai sensi del GDPR, in assenza di una decisione di adeguatezza, i trasferimenti di dati personali verso Paesi Terzi possono essere effettuati soltanto se il titolare o il responsabile del trattamento che trasferisce i dati personali nel Paese Terzo abbia fornito garanzie adeguate e gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Possono costituire garanzie adeguate ai sensi dell’art. 46 GDPR: (i) le SCC; (ii) le norme vincolanti di impresa (“BCR”); (iii) i codici di condotta; (iv) i meccanismi di certificazioni; (v) clausole contrattuali ad hoc. Oltre alle ipotesi di cui sopra, il trasferimento può basarsi anche sulle deroghe di cui all’articolo 49 (incluso, tra le altre, il consenso esplicito dell’interessato).[9] Tuttavia, si evidenzia, allo stesso tempo, che le decisioni di adeguatezza non impediscono agli interessati di presentare un reclamo, né impediscono alle autorità di controllo di adire un giudice nazionale in caso di dubbi sulla validità di una decisione, affinché il giudice nazionale possa sottoporre alla CGUE una domanda pregiudiziale finalizzata all'esame di tale validità.[10] Il termine “efficace”, sta a significare che ai dati personali deve essere garantito un livello di protezione equivalente a quello garantito nell’UE.[11] In particolare, nel caso in cui il trasferimento si basi sulle SCC, salvo che le ulteriori misure individuate non ledano i diritti degli interessati ovvero contraddicano le previsioni delle SCC medesime, non sarà necessario chiedere l’autorizzazione all’autorità di controllo per l’adozione di tali misure. Diversamente, qualora il titolare intenda modificare le SCC ovvero nel caso in cui le misure supplementari individuate si pongano in contrasto con le SCC, sarà necessario chiedere l’autorizzazione all’autorità di controllo competente, ai sensi dell’Art. 43, comma 3, lett. a) del GDPR.[12] In particolare, il titolare dovrà adottare meccanismi per sospendere immediatamente il trasferimento quando l’importatore non è più in grado di rispettare lo strumento adottato e/o le misure supplementari si rivelano non più sufficienti a garantire un adeguato livello di protezione degli interessati.[13] In particolare, le Raccomandazioni 02/2020 individuano le seguenti “garanzie essenziali”: (i) regole chiare, precise e accessibili per il trattamento di dati personali, (ii) dimostrazione della necessità e della proporzionalità in relazione agli obiettivi legittimi perseguiti; (iii) esistenza di un meccanismo di controllo indipendente, (iv) esistenza di tutele efficaci per l’interessato.[14] Si vedano le “Domande frequenti sulla sentenza della Corte di giustizia dell'Unione europea nella causa C-311/18 — Data Protection Commissioner/Facebook Ireland Ltd e Maximillian Schrems”.[15] Si veda la nota 4.[16] A tale riguardo, si consideri che la clausola 3 della bozza di decisione della Commissione Europea, sottoposta a consultazione pubblica, con i modelli di SCC integrati sulla base della decisione della CGUE, prevede una serie di obblighi in capo all’importatore in caso di richieste di accesso ai dati personali da parte del governo. Fra questi vi è l’obbligo di notificare all’esportatore la richiesta dell’Autorità, e di comunicare a quest’ultimo la maggior quantità possibile di informazioni sulle richieste ricevute (numero di richieste, tipo di dati richiesti, autorità o autorità richiedenti, se le richieste sono state contestate e l’esito di tali contestazioni, etc.).

1. Premessa e quadro normativo di riferimento

2. Profili di interesse per le imprese in materia di protezione dei dati personali

• la misurazione della temperatura prima dell’ingresso nei locali dell’azienda (se superiore a 37.5°, l’accesso non è consentito), individuando come base giuridica di tale trattamento l’obbligo di attuare i protocolli di sicurezza contro la diffusione del COVID-19 ai sensi dell’articolo 1, n. 7, lettera d) del D.P.C.M. 11 marzo 2020, e facendo riferimento al termine dello stato di emergenza come periodo di conservazione. Le informazioni sulla temperatura non devono, di regola, essere registrate, ma è consentito identificare la persona e registrare tali informazioni se la temperatura supera la soglia indicata al fine di documentare le ragioni che hanno impedito l’accesso ai locali dell’azienda. In ogni caso, deve essere fornita l’informativa all’interessato. I dati non possono essere diffusi o comunicati a terzi, al di fuori delle specifiche previsioni normative (come nel caso di richiesta da parte dell’autorità sanitaria per la ricostruzione della filiera dei contatti stretti del soggetto risultato positivo al COVID-19).
• la richiesta di rilasciare una dichiarazione nella quale si confermi di non provenire da aree a rischio e di non essere stato/a in contatto negli ultimi 14 giorni con soggetti risultati positivi al COVID-19. Anche questo trattamento si basa sull’obbligo di attuare i protocolli di sicurezza contro la diffusione del COVID-19 ai sensi dell’articolo 1, n. 7, lettera d) del D.P.C.M. 11 marzo 2020; viene altresì chiarito che devono essere raccolti e trattati solo i dati necessari, adeguati e rilevanti per evitare la diffusione del virus (per esempio, se vengono richieste informazioni su precedenti contatti con persone risultate positive al virus, è necessario astenersi dal richiedere ulteriori informazioni in merito a tali persone).
• l’autodichiarazione di una persona che ha sviluppato i sintomi da COVID-19 mentre si trova presso la sede della società, mediante segnalazione all’ufficio del personale. A seguito della segnalazione, la persona deve essere temporaneamente isolata e la società deve provvedere ad avvertire l’autorità competente, collaborando con essa per individuare eventuali soggetti che possano aver avuto “contatti stretti” con il soggetto isolato. Per la durata del periodo di indagine, la società può chiedere ai possibili contatti stretti di lasciare lo stabilimento, come misura cautelativa.

Si segnala che tali disposizioni troverebbero applicazione anche nei confronti di visitatori esterni.A seguito dell’adozione di tale Protocollo, Confindustria ha predisposto una nota illustrativa finalizzata ad assistere le aziende nella sua applicazione; in tale contesto, vengono precisate ulteriori indicazioni circa il ruolo del medico competente: lo stesso è tenuto, tra l’altro, a segnalare al datore di lavoro situazioni di particolare “fragilità” e patologie attuali o pregresse dei dipendenti e, in risposta, il datore dovrà provvedere alla loro tutela nel rispetto della privacy.Per completezza, infine, si ritiene utile menzionare anche la “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19”, adottata il 19 marzo 2020 dall’European Data Protection Board (“EDPB”).Anzitutto, l’EDPB conferma il principio per cui le norme in materia di protezione dei dati non ostacolano l’adozione di misure per il contrasto della pandemia. Tuttavia, i titolari e i responsabili del trattamento devono garantire la protezione dei dati personali degli interessati, i principi generali del diritto devono in ogni caso essere rispettati e, infine, qualsiasi misura adottata in questo contesto non può essere irrevocabile. In altri termini, l’emergenza può legittimare limitazioni delle libertà, purché tali limitazioni siano proporzionate e limitate al periodo di emergenza.Ciò premesso, per quanto concerne il trattamento dei dati nel contesto lavorativo, l’EDPB conferma che il datore di lavoro potrà trattare informazioni sanitarie specifiche di dipendenti e visitatori, nel contesto del COVID-19, solo nella misura consentita dal diritto nazionale.Per quanto concerne, più in generale, il trattamento dei dati relativi all’ubicazione, si precisa che esso deve essere conforme anche alle disposizioni di cui alla direttiva 2002/58/CE (c.d. “direttiva e-privacy”) che, in linea di principio, ammette il loro utilizzo da parte dell’operatore solo qualora tali dati siano resi anonimi o previo consenso degli interessati. Tuttavia, l’art. 15 della direttiva in questione consente di introdurre misure legislative per salvaguardare la sicurezza pubblica, nei limiti in cui dette misure siano necessarie, adeguate e proporzionate all’interno di una società democratica.Nello specifico, l’autorità sembra avallare l’utilizzo, da parte dei governi nazionali, dei dati di localizzazione da dispositivi mobili per monitorare, contenere o attenuare la diffusione del COVID-19, con la possibilità, per esempio, di geolocalizzare le persone o inviare messaggi di sanità pubblica ai soggetti che si trovano in una determinata area. Tuttavia, le autorità pubbliche dovrebbero cercare di trattare tali dati in modo anonimo, in forma aggregata e tale da non consentire la successiva re-identificazione delle persone. Qualora non vengano adottate misure di anonimizzazione dei dati, lo Stato membro interessato avrà l’obbligo di predisporre garanzie adeguate, ad esempio fornendo agli utenti di servizi di comunicazione elettronica il diritto ad un ricorso giurisdizionale. Resta fermo che, in ogni caso, lo Stato membro dovrà privilegiare quanto più possibile soluzioni meno invasive che possano essere sufficienti a fini di prevenzione. Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto.Per ulteriori informazioni si prega di contattare il vostro professionista di riferimento ovvero di scrivere al seguente indirizzo: corporate.commercial@advant-nctm.com o ai seguenti professionisti: Paolo Gallarati e Francesca Bonino.Hanno altresì partecipato alla redazione del presente memorandum i seguenti collaboratori: Virginia Paparozzi, Giulio Uras e Lucrezia Lorenzini.

Il riconoscimento

La diffusione della blockchain offre la suggestione di contratti in grado di eseguire autonomamente la volontà delle parti.La tutela dei dati personali, sancita dal regolamento europeo, pone tuttavia criticità che rischiano di minarne lo sviluppo.

LA PRIVACY AI TEMPI DEL WEB

LA MINACCIA DELL'ALGOCRAZIA

BLOCKCHAIN, PROFILO GIURIDICO CERCASI

IL BALUARDO DEL GDPR

EDUCARE ALLA PRIVACY

EUROPA ANCORA INDIETRO

IL POTERE DELL’ALGOCRAZIA

I DATI FUORI DAI BLOCCHI ...

... RISCHI DI TUTELA E DIGNITÀ

IN FRANCIA LE PRIME REGOLE

STESSA STRADA PER GLI SMART CONTRACT

25 May 2018, the “Christmas” of Privacy (or the “Privacy Day”)

• clear definition of what is meant for protected disclosures;
• clear indication of who will be afforded of protection;
• clear definition of reporting channels of disclosure and providing various channels, internal or external, as the case may be;
• ensuring confidentiality reports;
• ensuring data protection does not undermine confidentiality of the whistleblower;
• financial incentives, which is an highly controversial theme and very discussed in the framework of international institutions and recommendations. Of course, it is demonstrated that financial incentives in favour of whistleblowers could eventually encourage employees to report misconducts, but at the same time is a measure somehow controversial because it may affect the vision that the public may have in whistleblowers motivation, furthermore in many Countries is hard to imagine providing for financial incentives to whistleblowers (currently in place only in two OECD Countries, South Korea and U.S.A.);
• company measures as mitigating circumstances.

 The Italian Whistleblowing law for the private sectorThe Whistleblowing law has introduced for the first time a specific regulation on the whistleblower protection in private sector. Prior to the 2017 law, whistleblower protection was not completely unknown. A preliminary regulation was introduced back in 2012 by the Law no. 190/2012 (so-called Anticorruption Law). However its ambit was restricted to the public sector.In addition, there was some protection in the private sector within the terms of Decree 231 and the Whistleblowing law builds on this. Article 2 of the Whistleblowing law applies to those companies which have implemented an organizational model in compliance with the Decree 231 system by integrating the requirements for the eligibility and effectiveness of the organizational models set forth in Article 6 of the Decree 231 and providing for certain further mandatory requirements for those companies which have chosen (or choose) to implement such organizational models. In addition to the standards currently required to comply with the Decree 231, companies may also provide the following:

• one or more channels enabling senior managers and subordinates to raise detailed disclosures of unlawful conducts relevant pursuant to Decree 231 and based on precise and congruous facts, or breaches of the organizational model of the company, which they witnessed in the carrying out of their functions; such channels must assure confidentiality of the identity of the whistleblower when handling the disclosure;
• at least one alternative reporting channel suitable to assure, through IT means, the confidentiality of the identity of the whistleblower;
• prohibition against retaliation or discriminatory acts, whether direct or indirect, towards the whistleblower for reasons, directly or indirectly, connected to the disclosure;
• within the disciplinary system adopted, sanctions against those infringing the measures for the protection of the whistleblower, as well as those making, maliciously or negligently, disclosures that turn out to be unfounded.

Under the Whistleblowing law, people who blow the whistle are now protected against any sanction, reprisal or other discriminatory measures (including dismissal or workplace re-organizations that impact negatively on their working conditions), due to the report of any wrongful behaviour of another person linked to the company and anyhow connected to the Decree 231 in the context of the workplace.The new Whistleblowing law supports and fosters the creation of an organizational culture of transparency that supports whistleblowing but it still leaves a series of open issues and challenges. The workshop was mainly aimed at discussing and increasing awareness among the public of the most challenging issues in the field of whistleblower protection and the relationship between the new law and existing provisions such as  Decree 231 and the Privacy Code. We address both of these issues below. Whistleblower protection and data protection regulation The Whistleblowing law raises several issues in relation to rights and obligations deriving from the current data protection regulation.The core issue here is how to balance the right of the whistleblowers to protect their identity under the Whistleblower law and the right of individuals to have access to their personal data under the Data Protection rules. The Whistleblowing law does not provide for a solution. The Data Protection Authority is expected to publish its views on the matter in the course of 2018. It is most likely that the right of the individual to have access to its personal data will be limited where such disclosure could allow the identification of the whistleblower, either directly or indirectly.A further complex issue concerns the necessity, or not, to obtain the consent – required under the data protection regulation – of the individual of the disclosure for the processing of its personal data. Since the Whistleblowing law does not introduce obligations but simple duties, the processing cannot be considered as based on the fulfilment of a legal obligation or on the purposes of the legitimate interest of the controller (which occurs only in certain specific cases indicated by the Data Protection Authority). On the other hand, it would be unreasonable to require companies to obtain the consent of its employees to the processing of their personal data within whistleblowing systems. The situation may change with the entry into force, next 25 May 2018, of the new data protection rules set out in Regulation (EU) no. 2016/279.Participants in the workshop believed that challenges may be avoided or overcome by means of education, awareness-raising of rules and procedures through trainings and conferences, but also ensuring effective protection and by creating an organizational culture of transparency that supports whistleblowing. Indeed, putting in place channels for protection of whistleblowers is considered to be of benefit for the companies concerned.The Italian Anticorruption Authority (ANAC) and the Data Protection Authority are expected to publish their views in the near future but there was general consensus among the participants including representatives from these agencies that more legislation may be needed. Whistleblower protection and Decree 231 Another controversial issue for the protection of whistle-blowers in private sector, was the decision to place the protection within the scope of the Decree 231, which provides the framework for non-mandatory compliance systems to be adopted by companies and indeed often only implemented after the commission of an offence by the company. Therefore, the non-adoption of a whistleblowing system has no consequences for those companies that have not implemented a Decree 231 compliance system. Rather, the whistleblower protection creates obligations only for those companies which have voluntarily chosen to comply with Decree 231. In this case, should company be sued in court, and if the existing in-house protection system does not comply with the new requirements set out in the Whistleblowing law, there may be a finding that the in-house model are not sufficient and, in the worst scenario, the company may be deemed liable for under the Decree 231.Some participants at the workshop saw advantages in bringing the protection within the scope of Decree 231 because a strong mechanism to protect disclosure of information of wrongdoing by virtuous employees may only happen in those companies that have already adopted a culture of ethics, legality and transparency, which the voluntary Decree 231 systems aim at.Notwithstanding the above, the inequality of treatment of whistleblower protection for employees of those companies that have complied with the Decree 231 and non-protection for employees of those companies that have not complied with the Decree 231 may cause issues in the implementation of the Whistleblowing law. This problem is likely to be played out in labour disputes. To whom the disclosures must be addressedA further relevant issue concerns the identification of the addressee of complaints. Indeed, while for the public sector the Whistleblowing law indicates ANAC as the exclusive addressee, nothing is mentioned for the private sector in such law.At present, it is not possible to predict what solution will be found but it is clear that, whatever the choice will be, the supervisory body appointed by the companies pursuant to the Decree 231 (so called Organismo di Vigilanza) will have to be involved in some way, as also confirmed by a note on whistleblowing published by Confindustria in January 2018 and by Transparency International’s Italian Guidelines on whistleblowing. In fact, although the Whistleblowing law does not provide for any mandatory provision, not informing the supervisory body would compromise the flow of information which represents the core of the efficiency and effectiveness of the organizational models. In addition to the supervisory board, the current practices in private with voluntary schemes is to entrust to a third-party body or an ad hoc committee, the role to receive complaints.The workshop was an opportunity for experts in the field, in the competent authorities, in the private sector and in Nctm to share an understanding of the current state of the law in Italy.   This article is for information purposes only and is not intended as a professional opinion.For further information, please contact Raffaele Caldarone.

1. The European legal culture, built on the blood and tears of the many who have had their rights denied by totalitarian regimes, has created antibodies that should be enough, in theory, to keep privacy and security in balance in their proper orbits without the risk of large and dramatic

2. In Italy, for instance, the Constitution already embodies the idea of a double guarantee system, through law and justice, that allows the judiciary and police force to fully carry out their duty, even temporarily compressing rights and fundamental freedoms of citizens in order to prevent and prosecute crimes, without this being considered as an attack on freedom. National security and that of its citizens is a primary asset that, without the need to resort to special laws, already finds ample provisions in the Constitution, Penal Code, Criminal Procedure, Privacy Code, restricting the full and unlimited enjoyment of rights, but only in the presence of stringent requirements and for a limited amount of time. In the light of the above, in theory, the conflict Apple/FBI would not have exploded in Italy and in other EU countries based on civil law jurisdiction. However, things are nev- er completely linear and simple as they might

3. First of all, evolving technology represents a constant challenge for laws and rules. How- ever, the technology is in the hands of large multinational private groups, that increasing- ly tend to legitimacy impose their standards on a transnational basis, constantly stressing the principles of jurisdiction and

5. It is normal that everyone seeks to protect their own interest. But what if, such as the Ap- ple case, a national institution of justice starts to creatively chase technology, requesting access with more and more sensitive and accurate information on each of us? At the same time, in order to avoid the excesses of mass control undertaken by certain intelli- gence and security agencies, can we afford to allow the big high tech multinationals as ul- timate guarantors of our rights and freedoms?
6. Above all, what does not help is everyone going in conflicting directions. We need uni- form signals and answers to these challenges. What will happen when the Internet of Things will be really popular and dominate our daily lives? The era of big data is here and we cannot allow the judiciary, nor intelligence agencies, or private investigators or, worse, hackers, to have indiscriminate access to data collected from thousands of  interconnected objects that control our bodies or drive our cars. However, at the same time, we can- not delegate the safeguarding of our rights to private companies that have as their objective the making of profit.

It is therefore time to rethink the relationship between States and the privacy of their citizens, not in an emergency perspective that has led to the signing of the Privacy Shield nor in the context of the debate on GDPR. We now need international treaties that put both the individ- ual and internet in the driving seat. These are the indissoluble duo that we must all learn to deal with and legislate for on the basis of our shared European culture. We have got to set aside the end of Schengen or Brexit. Here we need to come together and forge new and en- during partnerships.