Novità privacy: Intelligenza Artificiale, presto limitazioni dall’UE
Panorama italiano
Garante per la protezione dei dati personali
Riconoscimento facciale: bocciato il sistema di sorveglianza del Ministero dell’Interno Sari Real Time non è conforme alla normativa sulla privacy
Il Garante ha espresso parere sfavorevole all’implementazione del sistema di sorveglianza elaborato dal Ministero dell’Interno “Sari Real Time” poiché non conforme alla normativa sulla privacy. Nel proprio parare, l’Autorità sottolinea come il sistema, ancora non attivato, integrerebbe una forma di sorveglianza di massa ingiustificata, stante l’impossibilità di individuare una base giuridica valida per questo trattamento. Sari Real Time, tramite un algoritmo, avrebbe infatti trattato i dati biometrici facciali di persone in una determinata area, inviando un alert alle forze dell’ordine in caso di corrispondenza tra i dati trattati e quelli contenuti nel database del sistema, che poteva arrivare ad includere fino a 10.000 volti. [16/0472021]
Dal mondo
Commissione UE
Nuova proposta di regolamento sull’intelligenza artificiale
La Commissione Europea ha presentato una nuova proposta di regolamento sull’intelligenza artificiale che persegue l’obiettivo di omogeneizzare la disciplina degli Stati Membri nell’ottica di garantire i diritti e le libertà dei cittadini europei. In sintesi, la proposta prevede di: (i) bannare i sistemi AI che mettano a rischio inaccettabile i diritti e le libertà dei cittadini (ad es. sistemi di scoring sociale); (ii) introdurre forti limitazioni all’utilizzo di sistemi AI ad alto rischio, con particolare riferimento ai sistemi di riconoscimento biometrico, dei quali sarà, in linea generale, proibito l’utilizzo per finalità di law enforcement, salvo limitatissime eccezioni; e (iii) obblighi di trasparenza per i sistemi AI a rischio limitato (ad es. chatbot). La proposta non vuole introdurre nessun nuovo obbligo in relazione ai sistemi AI a rischio minimo (ad es. filtri anti-spam o i videogiochi sviluppati con sistemi di AI), i quali potranno continuare ad essere utilizzati liberamente. [21/04/2021]
Parlamento UE
La Commissione UE adotti linee guida chiare sul trasferimento dei dati in USA!
La Commissione per le libertà civili del Parlamento Europeo ha adottato una risoluzione in cui chiama la Commissione UE ad adottare linee guida chiare sul trasferimento dei dati in USA che siano conformi agli indirizzi espressi dalla Corte di Giustizia Europea in occasione della sentenza Schrems II, nell’attesa che sia adottata una nuova decisione di adeguatezza. Proprio con riferimento alla sentenza Schrems II, i membri votanti esprimono un forte dissenso verso l’operato dell’Autorità Garante Irlandese che, invece di applicare autonomamente il GDPR, ha superfluamente coinvolto la Corte. Per questa ragione, si invita addirittura la Commissione ad avviare una procedura di infrazione contro l’Irlanda. [21/04/2021]
UK
Il Governo pianifica nuove proposte legislative per la cybersecurity degli smart devices
Il Governo britannico ha reso noto che sta pianificando l’adozione di nuove proposte legislative che garantiscano la cybersecurity degli smart devices (cd. “Secure By Design legislation”). Le proposte si baseranno su tre direttrici, che corrisponderanno ad altrettanti obblighi per i produttori: (i) garantire che i consumatori siano a conoscenza già al momento dell’acquisto del lasso di tempo per il quale il device sarà coperto dagli aggiornamenti di sicurezza; (ii) rendere impossibile di default l’utilizzo di password deboli; e (iii) fornire un punto di contatto utile a facilitare la segnalazione di eventuali bug rilevanti per la sicurezza del dispositivo. Il punto di approdo della Secure by Design legislation sarà rappresentato dagli smartphones. [21/04/2021]
Consiglio dell’Unione Europea
Luce verde alla creazione del Cybersecurity Competence Center
Il Consiglio ha comunicato di aver adottato in prima lettura il progetto di regolamento per l’istituzione del European Cybersecurity Industrial, Technology and Research Competence Centre che, al centro di un network a cui si aggiungeranno centri dei singoli Stati Membri, avrà il ruolo chiave di aiutare le istituzioni europee nell’implementazione di politiche che rafforzino la sicurezza dell’infrastruttura digitale europea. La palla passa ora al voto del Parlamento Europeo: se confermerà il progetto, l’atto entrerà in vigore. Il Cybersecurity Competence Center lavorerà in stretta collaborazione con ENISA, Agenzia Europea per la Cybersecurity. [20/04/2021]
EDPS (Garante europeo per la protezione dei dati)
Pubblicato report di attività del 2020
Il Garante europeo per la protezione dei dati ha pubblicato il report di attività per l’anno 2020. Nella propria relazione annuale, l’Autorità sottolinea l’impatto che il Covid-19 ha avuto nell’attività del Garante, che ha comportato la necessità di creare una task force interna per coordinare al meglio le attività. Nonostante ciò, l’Autorità rende noto di essere riuscita ad aumentare il numero di audit rispetto agli anni precedenti, anche grazie agli strumenti software implementati per poter automatizzare le ispezioni a distanza. [19/04/2021]
ACCC (Australian Competition & Consumer Commission)
Condanna a Google per pratiche commerciali scorrette sui dati di geolocalizzazione degli utenti
La Commissione Australiana per la tutela della concorrenza e dei consumatori ha comunicato che la Corte Federale Australiana ha condannato Google per pratiche commerciali scorrette relative al trattamento dei dati di geolocalizzazione dei propri utenti. In particolare, la Corte ha ritenuto ingannevole il messaggio con cui Google, in fase di creazione di un account su Android, comunicava agli utenti che i dati di geolocalizzazione erano trattati solo nell’ambito del servizio “Local History” mentre, in realtà, il titolare trattava tali dati anche nell’ambito del diverso servizio “Web & App Activity”, attivato di default. Così, gli utenti che disattivavano la geolocalizzazione in “Local History”, non essendo informati che il trattamento dei dati correlati continuava ad essere realizzato da Google in “Web & App Activity”, risultavano vittime di una pratica ingannevole. [16/04/2021]
Rechtbank Amsterdam (Corte di Amsterdam)
Uber deve reintegrare i lavoratori licenziati dall’algoritmo
La Corte di Amsterdam ha condannato Uber, nota società attiva nei servizi di trasporto urbanistico, a reintegrare i lavoratori licenziati a seguito di una decisione automatizzata presa da un algoritmo in UK. Nel caso di specie, i giudici hanno rilevato l’illegittimità del licenziamento per violazione dell’art. 22 GDPR, disposizione che vieta che l’interessato sia “sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”. La Corte ha altresì condannato Uber al pagamento delle retribuzioni a cui avrebbero avuto diritto i lavoratori ingiustamente licenziati ed alle spese di soccombenza. [14/04/2021]
Autorità garanti estere
AEPD (Autorità garante spagnola per la protezione dei dati)
Qualche consiglio sulla criptografia sul Web
Il Garante spagnolo ha pubblicato sul proprio blog un breve contenuto informativo sul protocollo di sicurezza HTTPS, spiegandone le differenze con le versioni antecedenti e volendo sottolinearne la sua rilevanza come misura di sicurezza implementabile ai sensi del GDPR. Il contenuto pubblicato dall’Autorità, oltre che ai titolari di siti web, è rivolto anche agli utenti, dando a quest’ultimi una guida sul come modificare le impostazioni avanzate dei browser utilizzati e deselezionare l’utilizzo di protocolli insicuri. [20/04/2021]
