In data 12 maggio 2022 lo European Data Protecion Board ha adottato due linee guida di grande interesse. La prima, numerata 04/2022, “on calculation of administrative fines under the GDPR”, riguarda le regole che le autorità di controllo devono applicare per definire le sanzioni che esse possono comminare nell’ambito dei loro poteri. La seconda, numerata 05/2022, è dedicata alle regole relative all’uso delle tecnologie di riconoscimento facciale, valutate con riferimento ai poteri delle autorità di law enforcement.
Sono state definitivamente varate le Linee Guida sull’ambito di applicazione territoriale del GDPR: già il 16 novembre 2018, il Comitato Europeo per la Protezione dei Dati (EDPB) aveva pubblicato il testo che, poi, in considerazione del forte impatto che le Linee Guida possono produrre, è stato sottoposto a consultazione pubblica prima della sua definitiva approvazione.
Indicazioni sul conteggio dei lavoratori, chiarimenti sulla trattazione delle segnalazioni anonime, precisazioni sulle attività che è tenuto a svolgere che deve gestire le segnalazioni, con attenzione particolare per quelle anonime, risposte sulle condizioni per l’applicazione della tutela dalle ritorsioni. Arrivano, in coincidenza con l’entrata in vigore di sabato scorso del pacchetto di novità normative per le azione al di sopra dei 250 dipendenti (per le altre l’appuntamento è al prossimo dicembre), le nuove Linee guida dell’Autorità anticorruzione sul whistleblowing, approvate con delibera dello scorso 12 luglio.
Il 24 febbraio 2023 l’European Data Protection Board ha pubblicato le Linee Guida 03/2022 per aiutare gli utenti a riconoscere i modelli di progettazione ingannevoli nelle interfacce delle piattaforme dei social media. Rispetto alla prima versione che era stata pubblicata lo scorso anno per la consultazione pubblica, adesso le Linee Guida 03/2022 in versione definitiva 2.0 vedono sostituito nel titolo il termine “dark pattern” con “deceptive design patterns”, andando così ad estendere la portata di questa subdola tipologia di violazioni del GDPR.
Undici azioni per governare i big data. Tra tutte, primeggia una preventiva valutazione di impatto sulla privacy. Anche quando l'obiettivo è di interesse pubblico (ad esempio lotta all'evasione fiscale o contributiva). È quanto si può desumere dalle «Linee guida e raccomandazioni di policy» per i big data diffuse dai Garanti della privacy, della concorrenza e mercato (Agcm) e delle comunicazioni (Agcom). Il documento è il frutto di una indagine conoscitiva nel corso della quale sono stati interpellati i principali operatori dell'economia dei dati, delle telecomunicazioni, dei settori finanziari e dell'editoria.
Alea iacta est: il 24 maggio 2023 il Comitato europeo per la protezione dei dati (EDPB) ha definitivamente adottato le Linee Guida 4/2022 (LG4) la cui finalità consiste nel fornire una base chiara e trasparente per la fissazione delle sanzioni connesse alle violazioni del GDPR.
Per garantire che siano rispettate le norme del Regolamento UE 679/2016 in relazione ai trattamenti che i responsabili debbano eseguire per conto del titolare, il Legislatore Europeo ha previsto, tra l’altro, che l’esecuzione dei compiti del responsabile venga disciplinata da un atto con valenza giuridica, nomina quindi non più meramente facoltativa ma obbligatoria in forza di un contratto o altro atto giuridico vincolante.
I Responsabili del trattamento devono essere oggetto non solo di una valutazione iniziale, come richiede l’articolo l’art. 28 par. 1) del GDPR ma anche di una valutazione delle loro performance e qualifiche nel corso del tempo; questo articolo tratta delle modalità attraverso le quali il Titolare del trattamento può effettuare quest’ultimo tipo di valutazione.
ll Consiglio d’Europa ha chiesto regole rigide per evitare i grandi rischi per la privacy e la protezione dei dati posti dall’utilizzo crescente delle tecnologie di riconoscimento facciale. Il 28 gennaio 2021, nella Giornata europea per la protezione dei dati, il Comitato Consultivo della Convenzione 108, istituito presso il Consiglio d’Europa, ha adottato linee guida in materia. Le linee guida, che si fondano sui principi della Convenzione 108 modernizzata, forniscono una serie di misure di riferimento che governi, sviluppatori di sistemi di riconoscimento facciale, produttori, aziende e pubbliche amministrazioni dovrebbero adottare per garantire che l’impiego di queste tecnologie non pregiudichi la dignità della persona, i diritti umani e le libertà fondamentali.
Il Consiglio Nazionale dei Commercialisti ha pubblicato il documento “Linee guida per l’adempimento degli obblighi privacy negli Ordini professionali”, elaborato dalla Commissione “Privacy Ordini professionali” istituita nell’ambito dell’area di delega “Compliance e modelli organizzativi delle imprese”, affidata alla Consigliera Nazionale Eliana Quintili.
