Archivi categoria: News

La NIS2 fornirà il quadro per le misure di gestione dei rischi per la sicurezza informatica e gli obblighi di comunicazione in settori specifici, quali energia, trasporti, sanità e infrastrutture digitali. Inoltre, la NIS2 cerca di armonizzare i requisiti di sicurezza informatica e l’attuazione delle misure di sicurezza informatica in ciascun Stato membro. A tal fine, la direttiva stabilisce un nucleo di regole minime e meccanismi per un’efficace cooperazione tra le autorità competenti degli Stati membri. NIS2 estende anche l’elenco dei settori e delle attività soggetti agli obblighi di sicurezza informatica e prevede rimedi e sanzioni per salvaguardare l’attuazione. Rispetto alla precedente direttiva NIS, le nuove norme della NIS2 istituiscono ufficialmente la rete europea di organizzazione di collegamento per le crisi informatiche ( EU-CyCLONE ), che fornirà una gestione coordinata di incidenti e crisi di sicurezza informatica su larga scala. Punti chiave della direttiva NIS2 Ambito di applicazione personale esteso…

Leggi tutto

Il 18 e 21 ottobre 2022, il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato le Linee Guida aggiornate sulla notifica di violazione dei dati personali ai sensi del GDPR e per l’individuazione dell’Autorità di controllo capofila in relazione a uno specifico titolare del trattamento o responsabile del trattamento. Entrambe le linee guida sono in forma di bozza e sono aperte alla consultazione pubblica fino alla fine di novembre. Linee guida sulla notifica di violazione dei dati personali (cd. Data Breach). L’EDPB ha modificato le Linee Guida per chiarire che i titolari del trattamento e gli incaricati del trattamento non stabiliti nell’UE che subiscono una violazione dei dati personali che interessano gli interessati in diversi Stati membri dell’UE devono notificare a tutte le autorità di controllo in cui risiedono gli interessati. Non possono beneficiare dello “sportello unico” del GDPR, che consente ai titolari del trattamento e ai responsabili…

Leggi tutto

A seguito degli accordi politici raggiunti all’inizio di quest’anno, il Consiglio dell’Unione Europea ha approvato il Digital Services Act, che disciplina lo spazio digitale, la tutela dei diritti fondamentali degli utenti e le misure contro la distribuzione di contenuti illegali. La legge sui servizi digitali si applicherà a tutti i fornitori di servizi online offerti a destinatari stabiliti o ubicati nell’Unione europea, dai fornitori di servizi di archiviazione o accesso a Internet alle piattaforme online e ai motori di ricerca di grandi dimensioni. I requisiti applicabili a ciascun fornitore di piattaforme sono stati adattati alla natura e alle dimensioni dei servizi forniti. I requisiti per le piccole piattaforme consisteranno in un obbligo di trasparenza e nella definizione di condizioni di utilizzo. Tuttavia, piattaforme e motori di ricerca di grandi dimensioni dovranno soddisfare requisiti più severi. Le violazioni sono punibili con una multa fino al 6% del fatturato finanziario globale della…

Leggi tutto

Nel luglio 2020, la Corte di giustizia dell’UE (CGUE) ha invalidato per la seconda volta il quadro giuridico per il trasferimento di dati personali attraverso l’Atlantico nella storica sentenza Schrems II. La CGUE ha rilevato che, poiché i servizi di intelligence statunitensi raccolgono una grande quantità di dati, il sistema legale statunitense non fornisce un livello adeguato di protezione dei dati personali. Di conseguenza, la CGUE ha annullato la decisione della Commissione che fungeva da base giuridica per il trasferimento di dati personali negli Stati Uniti. La sentenza Schrems II ha creato incertezza sui trasferimenti di dati transatlantici. In assenza di una valida decisione di adeguatezza, la soluzione più comune per garantire un trasferimento dei dati conforme al GDPR è stata l’implementazione di clausole contrattuali standard, che, ovviamente, hanno generato un notevole onere amministrativo. Tuttavia, il 7 ottobre 2022, il presidente Biden ha firmato un ordine esecutivo, che richiede alle…

Leggi tutto

Oggi martedì 1 febbraio prende il via la seconda edizione di SMARTedì, la serie di incontri di informatica giuridica ideata e curata dalle commissioni informatiche degli Ordini degli Avvocati di Pordenone, Udine, Gorizia e Trieste. Il primo dei 15 incontri programmati tratterà il tema dell’applicazione del #GDPR (e del D.Lgs. 196/2003) negli Studi legali. Il programma in particolare riguarda: Il trattamento dei dati personali nello studio legale e profili di responsabilità (collaboratori e dipendenti). Il rapporto con i clienti: identificazione dei dati personali e conferimento d’incarico, informative conformi a GDPR e basi giuridiche, conservazione digitale dei dati e individuazione dei limiti temporali. Relatori della giornata l’Avv. Stefano Corsini del Foro di Pordenone e l’Avv. Michele Grisafi del Foro di Trieste. Assieme affronteranno con un taglio pratico gli aspetti principali della normativa per la predisposizione degli adempimenti dovuti dal professionista, sia esso singolo o associato. Sarà illustrato lo schema di Regolamento…

Leggi tutto

L’autorità di controllo tedesca della Baviera (BDPA) ha recentemente emesso una decisione in cui afferma che il trasferimento di dati personali verso la piattaforma statunitense di email marketing Mailchimp effettuato da parte di una società era illecito. La vicenda trae origine da un reclamo presentato da un soggetto il quale lamentava la comunicazione del suo indirizzo email a Mailchimp, società statunitense, senza il suo consenso. Anche se la BDPA non ha intrapreso alcuna azione formale nei confronti della società dal momento che la stessa ha interrotto l’utilizzo di Mailchimp, la decisione è rilevante perché riafferma l’importanza della sentenza Schrems II e la corretta individuazione della base giuridica per il trasferimento di dati dall’UE verso gli Stati Uniti. In questa vicenda il trasferimento è avvenuto sulla base delle clausole contrattuali standard (SCC), una misura peraltro richiamata dalla stessa sentenza Schrems II. La BDPA, tuttavia, ha considerato la condotta omissiva della società…

Leggi tutto

Il 10 febbraio 2021, il Garante europeo della protezione dei dati (“EDPS“) ha pubblicato due pareri sulle proposte della Commissione europea per una legge sui servizi digitali (“DSA“) e una legge sui mercati digitali (“DMA“). I DSA e DMA proposti fanno parte di una serie di misure annunciate nella Strategia europea per i dati del 2020 e hanno due obiettivi principali: (1) creare uno spazio digitale più sicuro in cui siano protetti i diritti fondamentali di tutti gli utenti dei servizi digitali e (2) stabilire condizioni di parità per promuovere l’innovazione, la crescita e la competitività nel mercato unico europeo e nel mondo. Il DSA Il DSA introduce nuove regole e responsabilità per i fornitori di servizi di intermediazione online (inclusi servizi di hosting, piattaforme online e infrastruttura di rete). Il DSA, tra le altre cose, stabilisce: Requisiti di trasparenza della pubblicità online migliorata per le piattaforme online; L’obbligo di…

Leggi tutto

Il lavoro di pubblica utilità (LPU) è una sanzione penale consistente nella prestazione di un’attività non retribuita a favore della collettività da svolgere presso lo Stato, le regioni, i comuni o presso enti e organizzazioni di assistenza sociale o volontariato. L’attività viene svolta presso gli Enti che hanno sottoscritto con il Ministro, o con i Presidenti dei Tribunali delegati, delle apposite convenzioni che disciplinano le modalità di svolgimento del lavoro. La richiesta di svolgimento dei lavori di pubblica utilità è applicabile a numerose e diverse fattispecie penali, che hanno configurato il lavoro di pubblica utilità come una modalità di riparazione del danno collegata all’esecuzione di diverse sanzioni e misure penali, che vengono eseguite nella comunità.Attualmente trova applicazione anche: nei casi di violazione del Codice della strada, previsti all’art. 186 comma 9-bis e art. 187 comma 8-bis del Codice della Strada; nei casi di violazione della legge sugli stupefacenti, ai sensi dell’art. 73…

Leggi tutto

In che modo il Comitato europeo per la protezione dei dati (EDPB) definisce il concetto di Titolare del trattamento e Responsabile del trattamento? Il punto da cui le parti coinvolte nel trattamento dei dati devono partire è chiarire su chi tra loro sta determinando lo scopo del trattamento, in quanto ciò definirà il loro ruolo di Titolare del trattamento o Responsabile del trattamento, definendo di conseguenza i loro obblighi ai sensi del GDPR. Il 16 febbraio 2010, il WP29 (Gruppo di lavoro sulla protezione dei dati ai sensi dell’art. 29 Direttiva 95/46), ora sciolto, aveva espresso un parere sui concetti di Titolare del trattamento e Responsabile del trattamento, ma essendo precedente al GDPR la sua rilevanza è stata notevolmente ridotta. A seguito dell’entrata in vigore del GDPR sono sorte domande su come il Regolamento Europeo ha impattato sui concetti di Titolare, Contitolari del trattamento e Responsabili del trattamento e sui…

Leggi tutto

Nonostante siano trascorsi due anni e mezzo dalla definitiva entrata in vigore del GDPR, ancora molte aziende consentono l’accesso ai dati senza prestare la necessaria attenzione. Il GDPR richiede ai Titolari e Responsabili del trattamento di mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (articolo 32). Ciò include necessariamente l’integrazione di misure di controllo degli accessi. All’interno delle organizzazioni che chiedono la mia consulenza mi capita di frequente di verificare che agli utenti è concesso l’accesso ai dispositivi aziendali con privilegi di amministratore e la motivazione che mi viene fornita è sempre la stessa: evitare complicazioni durante la giornata lavorativa. Ciò avviene nella maggioranza dei casi all’interno di organizzazioni di medie o piccole dimensioni che spesso al loro interno non hanno una figura professionale di riferimento per la gestione degli strumenti informatici, quindi per non dover ricorrere ad un fornitore esterno…

Leggi tutto

10/25