NEWSLETTER PRIVACY

DICEMBRE 2024

Reverse proxy: quale è il giudice competente negli illeciti commessi tramite internet?

Il Tribunale di Roma, con la sentenza n. 1569/2024, si è pronunciato in ordine al criterio di determinazione della giurisdizione italiana in caso di illeciti commessi tramite internet da soggetto non domiciliato né residente in Italia. In particolare, il caso riguarda il c.d. reverse proxy, consistente nella attività di un software che si interpone tra la rete pubblica e il servizio che ospita sul proprio server, fungendo da intermediario nell’ambito della comunicazione client/server.

La controversia è stata instaurata dalla società R.T. S.p.A., titolare di diritti su celebri programmi televisivi italiani. Questa aveva rilevato che soggetti terzi non identificati, al fine di sfruttare abusivamente la propria proprietà intellettuale, avevano creato un’attività economica organizzata, principalmente, tramite il sito web denominato “G.” che, dovendo spesso cambiare la propria sede virtuale per aggirare i blocchi disposti dall’AGCOM, comunicava ai propri clienti nuovi indirizzi web.

R.T., quindi, ha presentato ricorso avverso la società statunitense “C. Inc.”, la quale forniva supporto tecnico – logistico a tali soggetti non identificati, consentendo loro di sfruttare abusivamente la proprietà intellettuale altrui e mantenendo, in ogni caso, l’anonimato.

Il Tribunale di Roma, in tale circostanza, ha affermato, in linea con la giurisprudenza nazionale ed europea, che la giurisdizione della controversia appartiene al Giudice italiano, in applicazione del criterio del locus commissi delicti.

Il Giudice ha altresì specificato cosa debba intendersi, in base alla giurisprudenza prevalente, per locus commissi delicti con riferimento agli illeciti commessi tramite internet, definendolo come il “luogo in cui il danno materialmente si consuma con la diffusione dei dati digitali nell’area di mercato ove la parte danneggiata risiede o esercita la sua attività di impresa”.

Pertanto, nella controversia in oggetto, la giurisdizione competente, ossia quella del Giudice italiano, è stata determinata, non in base al luogo in cui gli utenti hanno stoccato i file, ma in relazione all’evento lesivo che ha arrecato il danno lamentato da R.T.

Violazione di dati personali e bancari, Garante Privacy: obbligo di informare i clienti.

Il Garante Privacy, con provvedimento n. 659 del 2 novembre 2024, in relazione ad una nota vicenda di ripetuti accessi indebiti da parte di un dipendente di una banca a dati personali dei clienti, ha intimato alla banca medesima di informare, entro 20 giorni dalla ricezione del provvedimento, tutti i soggetti coinvolti nella violazione dei dati personali e bancari.

Il provvedimento si è reso necessario in quanto nelle prime comunicazioni inviate dalla banca al Garante pare non fosse stata adeguatamente messa in evidenza l’ampiezza della violazione, come, invece, è poi emerso.

Diversamente da quanto valutato dalla banca, l’Autorità ha ritenuto, nel caso di specie, che la violazione dei dati personali in questione fosse suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, in considerazione:

  • della natura della violazione dei dati personali, che, alle condizioni previste dall’art. 615-ter c.p., può configurare un’ipotesi di reato;
  • delle categorie dei dati personali oggetto di violazione;
  • della gravità e persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione (ad esempio: la divulgazione di notizie riguardanti lo stato patrimoniale);
  • del settore di attività del Titolare del trattamento, che richiede un elevato grado di responsabilizzazione.

Il Garante, riservandosi di valutare l’adeguatezza delle misure di sicurezza adottate dalla banca, ha ingiunto alla stessa di trasmettere all’Autorità, entro 30 giorni, un riscontro, adeguatamente documentato, in ordine alle iniziative intraprese al fine di dare piena attuazione a quanto prescritto.

Tra le incombenze vi rientra quella di comunicare individualmente la violazione dei dati a tutti gli interessati, i cui dati personali e bancari siano stati oggetto di accesso non riconducibile all’ordinaria attività lavorativa del dipendente.

L’Autorità rileva, peraltro, che il Titolare non ha provato in alcun modo la sussistenza dello sforzo sproporzionato che comporterebbe la predetta comunicazione. Pertanto, non ha ritenuto applicabile al caso di specie la condizione prevista alla lettera c), par. 3 dell’art. 34 GDPR, anche in ragione del fatto che i clienti sono certamente noti alla banca, così come sono noti i recapiti di ciascuno di essi.

Meta: sanzione da oltre 25 milioni di dollari per la privacy policy di WhatsApp.

L’autorità della concorrenza e del mercato dell’India (Competition Commission of India) ha ordinato a WhatsApp di cessare la condivisione dei dati degli utenti con altre società di Meta per finalità pubblicitarie per cinque anni, imponendo anche una multa di 25,4 milioni di dollari per violazioni antitrust relative alla controversa vicenda sulla privacy policy di WhatsApp.

La Commissione per la concorrenza dell’India, che aveva avviato l’indagine nel 2021, ha rilevato che l’aggiornamento sulla privacy take-it-or-leave-it” di WhatsApp costituiva un abuso della posizione dominante di Meta, costringendo gli utenti ad accettare la condivisione dei loro dati, senza un’opzione di opt-out.

L’aggiornamento dell’informativa sulla privacy di WhatsApp per il 2021 richiedeva, infatti, agli utenti di condividere i loro dati con le società Meta per poter continuare ad utilizzare il servizio di messaggistica, eliminando una precedente opzione di opt-out esistente dal 2016. Il requisito obbligatorio di condivisione delle informazioni personali ha, pertanto, ampliato la portata della raccolta e dell’elaborazione dei dati da parte delle società del gruppo Meta.

Rider, Garante Privacy: no all’algoritmo incontestabile dai lavoratori.

Sanzione di 5 milioni di euro a Foodinho, società del gruppo Glovo: fino ad agosto 2023 i rider venivano geolocalizzati anche fuori dall’orario di lavoro.

Il Garante Privacy ha ordinato a Foodinho S.r.l. il pagamento di una sanzione di 5 milioni di euro per aver trattato illecitamente i dati personali di oltre 35 mila rider attraverso la piattaforma digitale utilizzata per lo svolgimento dell’attività. L’Autorità, inoltre, ha vietato l’ulteriore trattamento dei dati biometrici dei rider (nello specifico, il riconoscimento facciale), utilizzati per la verifica dell’identità degli stessi.

La decisione arriva a conclusione dell’istruttoria avviata d’ufficio dopo la morte, occorsa nel 2022, di un rider coinvolto in un incidente stradale durante una consegna. In quell’occasione un gruppo di informatici aveva denunciato una serie di violazioni del GDPR, connesse alla disattivazione dell’account della vittima, dalle quali è partita l’inchiesta.

Infatti, nonostante la società fosse già stata sanzionata dal Garante nel 2021, l’Autorità ha accertato che la piattaforma utilizzata, quando disattiva o blocca un account, invia automaticamente un unico messaggio standard, il quale, tuttavia, non informa il destinatario della possibilità di contestare la decisione e chiedere il ripristino dell’account.

Dagli accertamenti è anche emerso che Foodinho, senza informare gli interessati, invia regolarmente a società terze i dati personali dei rider, tra cui anche la posizione geografica. Questi ultimi dati, in particolare, vengono trasmessi anche quando il lavoratore non è in turno, in quanto l’app risulta attiva in background e, fino ad agosto 2023, anche quando l’app non era attiva.

Pertanto, Foodinho sarà tenuto a riformulare i messaggi inviati ai rider in caso di disattivazione o blocco dell’account, assicurando che le decisioni adottate dall’algoritmo siano verificate da operatori adeguatamente formati. Inoltre, dovrà attivare sul dispositivo di ciascun lavoratore che effettua consegne una icona che indichi che il GPS è attivo, oltre che procedere a disattivarlo quando l’app è in background.

L’adozione del provvedimento del Garante coincide con la pubblicazione sulla GUCE (l’11/11/2024) della Direttiva UE 2024/2831, relativa al miglioramento delle condizioni di lavoro mediante piattaforme digitali.

PMI, con Olivia corsi gratuiti sul GDPR e test di controllo.

Il tool consente a Titolari e Responsabili del trattamento dati di verificarne la conformità rispetto alla normativa in materia di privacy.

Olivia (a cui è possibile accedere tramite il link: https://olivia-gdpr-arc.eu/italian/it) è un tool pensato per offrire un’occasione di formazione per le piccole e medie imprese ed accompagnarle nel loro adeguamento al Regolamento europeo sulla protezione dei dati (GDPR). Può rappresentare uno strumento utile di conoscenza anche per tutti i titolari e responsabili del trattamento del settore pubblico.

Infatti, la piattaforma presenta una serie di moduli di apprendimento, che vanno dalle nozioni di base sul GDPR, ai principi e alle basi giuridiche del trattamento dei dati, fino alle condizioni per l’utilizzo dei cookie o dei sistemi di videosorveglianza sul luogo di lavoro. Ma soprattutto il tool, elaborando risposte ai questionari messi a disposizione, consente alle aziende di verificare la conformità alla disciplina sulla privacy.

Particolare utilità rivestono i modelli di documentazione proposti da Olivia a proposito di valutazione d’impatto sulla protezione dati (DPIA) e di valutazione del legittimo interesse, che rappresenta la base giuridica più complessa su cui fondare un trattamento, dal momento che richiede di dimostrare la prevalenza degli interessi dell’organizzazione sui diritti degli interessati.

Olivia è completamente gratuito e disponibile in italiano, inglese e croato. Gli utenti registrati troveranno sulla piattaforma le registrazioni video dei dieci seminari realizzati da remoto nell’ambito di ARC II e tutte le presentazioni effettuate dai relatori.

Leggi anche:

  • NEWSLETTER PRIVACY MAGGIO 2025 - 1 maggio 2025 Privacy e rettifica dati sull’identità di genere: no alla prova dell’operazione chirurgicaLa Corte Ue di Giustizia Ue ha innanzitutto ricordato l’importanza del “principio di esattezza” previsto dall’art. 5, par. 1, lett. d) del GDPR, secondo cui l’interessato ha il diritto di ottenere dal titolare del trattamento, senza ingiustificato ritardo, la rettifica dei dati… Read More
  • NEWSLETTER 5/2025 - Novita’ normative Con la nota del 10 aprile 2025, il Ministero del Lavoro interviene sulla nuova procedura di dimissioni per fatti concludenti come prevista dal Collegato lavoro e già oggetto di interpretazione con la circolare n. 6/2025. Un termine eccessivamente breve, sostiene il Ministero, potrebbe compromettere le garanzie minime di difesa del lavoratore, ritrovandosi nell’impossibilità… Read More
  • NEWSLETTER PRIVACY - APRILE 2025 Via libera al Senato al disegno di legge su AI. È stato approvato in Senato il Ddl. 1146, recante “Disposizioni e delega al Governo in materia di intelligenza artificiale” che, insieme al Regolamento Ue 2024/1689, compone il quadro normativo in tema di AI applicabile in Italia. Il testo passa ora all’esame della Camera.… Read More
Ultime News