GA-ALLIANCE SBARCA IN PAKISTAN: SIGLATA PARTNERSHIP STRATEGICA CON AXIS LAW CHAMBERS

MILANO – 29 gennaio 2026

GA-Alliance, studio legale e fiscale globale che conta oltre 2.600 professionisti in 80 paesi, annuncia l’ingresso nel mercato pakistano. La partnership strategica con Axis Law Chambers, primario studio legale full-service della regione, segna un’ulteriore espansione del network di GA-Alliance, che oggi copre geografie che generano quasi il 90% del PIL mondiale.

L’accordo rafforza l’impegno di GA-Alliance nel perseguire la propria strategia "one-stop-shop". Integrando le competenze locali con i più elevati standard globali, l'Alleanza offre ai clienti un unico punto di accesso efficiente per ogni esigenza legale e fiscale. Questo modello elimina le complessità legate alla gestione di molteplici consulenti in diverse giurisdizioni, offrendo un’esperienza coordinata e fluida che mette al centro la chiarezza e la crescita del business.

Axis Law Chambers apporta all'Alleanza una reputazione d'eccellenza, in particolare nei mandati cross-border ad alto valore aggiunto e nella consulenza su temi regolamentari complessi. Costantemente parte degli studi segnalati da Chambers and Partners e The Legal 500, Axis Law si distingue per l’attività transazionale nel corporate, fusioni e acquisizioni (M&A), diritto del lavoro, proprietà intellettuale, investimenti esteri, partenariati pubblico-privati, governance societaria, antitrust, fisco, data protection e compliance con normative di settore. Lo studio assiste clienti in settori chiave come per esempio energia, oil & gas, minerario, sanitario, telecomunicazioni, automotive, servizi finanziari, difesa, retail, manifatturiero, agricoltura, media, IT, logistica, immobiliare e organizzazioni non profit.

Inoltre, Axis Law vanta una delle practice di dispute resolution più autorevoli del Pakistan, includendo contenzioso e arbitrato internazionale, con una solida esperienza in procedimenti presso ICSID (International Centre for Settlement of Investment Disputes, con sede a Washinton DC e parte della Banca Mondiale), ICC (International Chamber of Commerce, con sede a Parigi) e LCIA (London Court of International Arbitration, con sede a Londra). Questa profondità di competenze garantisce ai clienti di GA-Alliance un supporto di massimo livello nel quinto paese più popoloso al mondo, una delle economie più dinamiche del continente asiatico.

Francesco Sciaudone, Managing Partner di GA-Alliance, ha sottolineato l’importanza strategica dell’operazione: “Il nostro ingresso in Pakistan attraverso la partnership con Axis Law Chambers è un ulteriore passo che rafforza il nostro percorso di crescita globale. In GA-Alliance, l’obiettivo è semplificare la complessità per i nostri clienti. Estendendo il nostro modello ‘one-stop-shop’ a uno studio pakistano di eccellenza, sempre più siamo in grado di offrire ai nostri clienti la possibilità di operare con fiducia in un numero elevatissimo di mercati nel mondo. Non stiamo solo espandendo la nostra presenza geografica, stiamo potenziando un ecosistema sofisticato dove le best practice internazionali e la precisione incontrano la leadership del mercato locale per rispondere alle necessità dei clienti in modo semplice, diretto e altamente efficiente.”

GA-Alliance

Con oltre 2.600 professionisti in 80 paesi nel mondo, GA-Alliance è uno studio legale e fiscale globale con profonde radici europee, che unisce una solida tradizione giuridica a una vasta presenza internazionale. Fondato su principi di eccellenza e innovazione, GA-Alliance offre competenze integrate e multidisciplinari, ponendosi come partner strategico per promuovere una crescita sostenibile in un contesto normativo in continua evoluzione.

Axis Law Chambers

Axis Law Chambers è un primario studio legale pakistano, riconosciuto per l’eccellenza nell’attività di consulenza societaria, transazionale e nella risoluzione di controversie commerciali. Con un team di oltre 30 professionisti e sette partner, lo studio assiste clienti nazionali e multinazionali in operazioni ad alto impatto, compliance regolatoria e complessi casi di dispute resolution, inclusi arbitrati internazionali.

Country

GA-Alliance: in arrivo Salvatore Figliuolo come nuovo socio. Al via l’area dedicata a Cybersecurity e Digital Compliance

GA-Alliance, la law firm da sempre all'avanguardia nell'offerta di servizi legali innovativi e mirati a rispondere alle esigenze emergenti dei propri clienti ovunque nel mondo, è lieta di annunciare il lancio di un nuovo Desk dedicato a Cybersecurity e Digital Compliance. Questa iniziativa strategica - pensata per supportare clienti pubblici e privati, nazionali ed internazionali, nella prevenzione dei rischi digitali, nella gestione dei dati e nell’adeguamento alle normative italiane ed internazionali - sottolinea l'impegno costante di GA nel fornire assistenza legale di eccellenza per aiutare le imprese ad affrontare le crescenti sfide poste dall'era digitale.

 A guidare questa attività sarà l’avv. Salvatore Figliuolo, nuovo partner di GA. L'avv. Figliuolo vanta una pluriennale esperienza in Italia e all'estero nel diritto delle tecnologie e nella sicurezza informatica nonché importanti esperienze manageriali in società di Gen AI.

GA ha riconosciuto la necessità di andare oltre la mera assistenza legale reattiva, adottando un approccio proattivo che mira a rafforzare la resilienza digitale dei propri clienti. Per tale ragione, il progetto offrirà ai clienti un supporto legale e tecnico congiunto, grazie alla collaborazione con Visibily, partner tecnologico dell’iniziativa e managed security service provider specializzato in soluzione avanzate per imprese. In particolare, il desk, unico nel suo genere, fornirà servizi integrati – legali e tecnologici – in materia di:

1. Analisi dei rischi digitali e delle vulnerabilità;
2. Verifica e predisposizione di policy interne e protocolli di gestione dei dati;
3. Formazione e sensibilizzazione del personale sui temi di sicurezza e privacy;
4. Assistenza continuativa in caso di ispezioni, data breach e progetti di digitalizzazione;
5. Gestione dei rapporti con le autorità competenti (es. Polizia Postale, Garante per la Privacy, Agenzia per la Cybersicurezza Nazionale, Autorità europee).
    

Con questa nuova iniziativa, GA-Alliance conferma il proprio impegno ad affiancare i clienti nel processo di evoluzione digitale, con un approccio pratico, multidisciplinare e orientato alla prevenzione. Il team si avvarrà anche delle competenze già presenti all’interno dello Studio, ad esempio nei settori privacy e amministrativo.

Francesco Sciaudone, Managing Partner di GA-Alliance, ha commentato: "L’ingresso di Salvatore Figliuolo e l’avvio dell’area Cybersecurity e Digital Compliance rappresentano un passo naturale nel percorso di crescita di GA nel mercato dei servizi professionali. In un contesto sempre più esposto a rischi digitali e all’impatto di normative molto complesse ed in continua evoluzione, riteniamo fondamentale offrire ai clienti un supporto completo e integrato – a livello domestico ed internazionale – che unisca competenze legali e soluzioni tecnologiche. La collaborazione con un partner tecnico di standing e la sinergia tra i team interni rafforzano ulteriormente la nostra capacità di rispondere in modo tempestivo, concreto e strategico alle nuove sfide della digitalizzazione."

This newsletter provides a selection of opinions and analysis from our EU legal experts on interesting policy developments, recent case law and new regulatory directions of major industry practices. It is released biweekly and covers areas such as: Competition Law, Sanctions, Trade, Energy, Finance, EU funds, Data IP and Privacy, Life Sciences, Transport and Court of Justice of the European Union news.

The aim is to provide an up–to–date tool for quick and easy consultation on the most current and important topics at EU level.

• Competition Law and State Aid
• Sanctions
• Trade
• Energy and Green Deal
• Banking & Finance
• EU Funds
• Life Sciences
• Transport and Electric Vehicles
• Data, IP and Privacy
• Consultions and Calls

EUROPEAN COMMISSION (EC)

The European Commission designates adult content platform XNXX as Very Large Online Platform under the Digital Services Act (10.07.2024) – The Commission has formally designated XNXX as a Very Large Online Platform (VLOP) under the Digital Services Act (DSA).Therefore, XNXX will have to comply with the most stringent rules under the DSA within four months of its notification Such obligations include adopting specific measures to empower and protect users online, to prevent minors from accessing pornographic content online, including with age-verification tools, to provide access to publicly available data to researchers, and to publish a repository of ads.

• Link

The European Commission publishes the second report on the State of the Digital Decade (02.07.2024) – The European Commission has published the second report on the State of the Digital Decade, providing a comprehensive overview of the progress made in the quest to achieve the digital objectives and targets set for 2030 by the Digital Decade Policy Programme (DDPP). This year, for the first time, the report is accompanied by an analysis of the national Digital Decade strategic roadmaps presented by Member States, detailing the planned national measures, actions and funding to contribute to the EU's digital transformation.

• Link

Artificial Intelligence Act: fostering responsible AI development in Europe

Overview

The Artificial Intelligence Act (“AI Act”) is set to be published on the EU’s Official Journal soon, following the final approval of the Council of the EU on 21^st May 2024. This landmark legislation aims to establish a regulatory framework for Artificial Intelligence (“AI”) across the European Union, promoting trustworthy and ethical development, deployment, and use of AI technologies. New rules will enter into force twenty days after the publication, with obligations then phased-in gradually over three years, more specifically:

• Bans on prohibited practices, which will apply six months after the entry into force date;
• Codes of practice, which will apply nine months after entry into force
• General-purpose AI rules including governance, which will apply 12 months after entry into force
• Obligations for high-risk systems, which will apply 36 months after the entry into force

The Significance of Codes of Practice

One crucial aspect of the AI Act involves the creation of Codes of Practice for General-Purpose AI (“GPAI”) models. These codes are fundamental for bridging the gap between the high-level requirements outlined in the AI Act for GPAI providers and the practical implementation of those requirements. In essence, they serve as a detailed roadmap for ensuring compliance with the principles enshrined in the new Regulation.

Concerns Regarding Stakeholder Involvement

On 8^th July 2024, certain Members of the European Parliament (“MEPs”) expressed their concerns in a letter sent to EU's AI Office urging to include civil society in the drafting of rules for powerful AI models. In particular, they argued against European Commission's initial approach, which reportedly proposed to allow AI model providers to take the lead in drafting the codes, with civil society organizations (“CSOs”) playing a more limited consultative role.

MEPs expressed apprehension that such an approach could result in codes that prioritize industry interests over broader societal concerns. They advocate for an inclusive process that actively engages a diverse range of stakeholders, including:

• Companies, as input from the AI development and deployment sectors is crucial for ensuring the codes are practical and workable.
• Civil Society Organizations, which bring valuable perspectives on ethical considerations, potential biases, and the impact of AI on fundamental rights.
• Academia, with researchers and experts offering insights into the latest advancements in AI technology and potential risks.
• Other Stakeholders, considering that a diverse range of voices can contribute to well-rounded and comprehensive codes.

At the same time, civil society members highlight the potential for a situation where large technology companies write their own rules, potentially undermining AI Act's goal of establishing equal and globally influential standards for GPAI development.

Looking Forward

The European Commission has acknowledged the need for clarity on stakeholders’ involvement. Details regarding the participation of CSOs and other stakeholders are expected to be included in a forthcoming call for expressions of interest. An external firm will be responsible for leading the drafting process, with the AI Office maintaining oversight and approving the final versions of the codes.

The coming months will be crucial in determining how the EU navigates stakeholders’ involvement in crafting the AI Act's Codes of Practice. A transparent and inclusive process will be essential for establishing strong, effective, and ethically sound standards for trustworthy AI development across Europe.

This newsletter provides a selection of opinions and analysis from our EU legal experts on interesting policy developments, recent case law and new regulatory directions of major industry practices. It is released biweekly and covers areas such as: Competition Law, Sanctions, Trade, Energy, Finance, EU funds, Data IP and Privacy, Life Sciences, Transport and Court of Justice of the European Union news.

The aim is to provide an up–to–date tool for quick and easy consultation on the most current and important topics at EU level.

• Competition Law and State Aid
• Sanctions
• Trade
• Energy and Green Deal
• Banking & Finance
• EU Funds
• Life Sciences
• Transport and Electric Vehicles
• Data, IP and Privacy
• Consultions and Calls

COUNCIL OF THE EUROPEAN UNION (COUNCIL)

Data protection: Council agrees position on GDPR enforcement rules (13.06.2024) – The Council has reached an agreement on a common member states’ position on a new law which will improve cooperation between national data protection authorities when they enforce the General Data Protection Regulation (GDPR). The Council position maintains the general thrust of the proposal but amends the draft regulation as regards clearer timelines, enhanced and efficient cooperation and early resolution mechanism.

• Link

Il recente parere dell’EDPB sull’uso del sistema “Pay or Consent”

Sempre più spesso, navigando sui siti di alcune testate giornalistiche o su altre piattaforme online, gli utenti si trovano davanti a una scelta: abbonarsi al servizio oppure acconsentire all’uso dei propri dati per l’invio di contenuti pubblicitari personalizzati.

Una pratica diffusa, quella del “Pay or Consent” (letteralmente: “Paga o Acconsenti”), ma non per questo necessariamente lecita, oggetto del recente parere dell’EDPB (Opinion 08/2024 del 17 aprile 2024). La pronuncia è stata sollecitata da alcune Autorità per la Protezione dei Dati nazionali (Olanda, Norvegia e Germania) e, peraltro, tiene conto anche della sentenza della Corte di Giustizia dell’Unione europea nel caso C-252/21, che ha visto coinvolta Meta.

Tra gli aspetti principali in merito alla configurazione giuridica della fattispecie del “Pay or Consent” emerge senza dubbio la questione della validità del consenso che, si ricorda, ai sensi del GDPR dev’essere, tra le altre cose, liberamente prestato. Ebbene, secondo l’EDPB, la libertà di scelta dell’utente dipende anche dalle opzioni che gli vengono offerte, e risulta difficile immaginare che le piattaforme possano ottenere un consenso liberamente prestato se la scelta si riduce a: pagare un abbonamento o “pagare” con i propri dati.

I titolari, argomenta l’EDPB, non dovrebbero offrire una sola alternativa a pagamento oltre al servizio che include il trattamento dei dati a fini di pubblicità comportamentale, ma dovrebbero prendere in considerazione la possibilità di fornire agli interessati una terza “alternativa equivalente” che non comporti il pagamento di un corrispettivo. Solo in questo modo gli utenti potranno esercitare una vera scelta; infatti, se gli utenti sono messi in condizione di poter usufruire del servizio non solo gratuitamente, ma anche senza dover necessariamente acconsentire alla pubblicità comportamentale, si può dedurre che coloro che prestino il proprio consenso alla profilazione lo facciano liberamente e consapevolmente, e non perché si tratta solo della scelta dell’unica alternativa (apparentemente) gratuita.

A ciò si aggiunga un altro fattore determinante nella validità del consenso prestato: lo squilibrio di potere tra un titolare che ricopre un’importante posizione sul mercato (ad esempio una testata giornalistica) e l’interessato (utente del sito web). Squilibrio che si accentua se si considera la tipologia di servizio e il fatto che lo stesso possa dirsi “essenziale” per gli utenti. In sostanza, il rischio è che nei sistemi “Pay or Consent” gli utenti che non intendono pagare né sottoporsi a un trattamento dei propri dati per l’invio di pubblicità comportamentale si trovino costretti a rinunciare, ad esempio, alla possibilità di informarsi.

Il tema della libertà del consenso prestato è senza dubbio quello che appare più controverso in tale dinamica, ma naturalmente devono essere rispettate anche le altre condizioni affinché il consenso possa dirsi lecito: esso, come noto, dev’essere libero, specifico, informato, inequivocabile ed ottenuto in maniera chiara e comprensibile per l’interessato. Senza trascurare, naturalmente, gli altri principi del GDPR, cui devono attenersi tutti i titolari in occasione di un trattamento di dati personali.

Per approfondimenti:

EDPB, “Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms”, 17 April 2024.

AI Act: le nuove regole sull’Intelligenza Artificiale in Europa

Il 21 maggio 2024 è stato approvato il testo definitivo dell’AI Act.

Si tratta del primo regolamento al mondo in materia di intelligenza artificiale volto a promuovere lo sviluppo e l’adozione di sistemi AI sicuri e affidabili all’interno del mercato unico europeo, che operino nel rispetto delle libertà e dei diritti fondamentali dei cittadini, compreso il diritto alla protezione dei dati personali.

L’obiettivo è quello di stimolare nuovi investimenti e promuovere l’innovazione nel campo dell’intelligenza artificiale, considerato un settore ormai cruciale non solo nel mercato europeo ma anche a livello globale, costituendo un elemento di significativa rilevanza strategica in numerosi ambiti e per diversi soggetti.

Innanzitutto, l’AI Act classifica i sistemi di intelligenza artificiale sulla base del rischio per i diritti e le libertà dei soggetti interessati. Infatti, i sistemi di IA che presentano un “rischio limitato” saranno soggetti a obblighi di trasparenza meno rigidi, a differenza dei sistemi di AI considerati ad “alto rischio” che dovranno rispettare una serie di requisiti specifici e che saranno soggetti ad obblighi di trasparenza più stringenti, fatta eccezione per quei sistemi di AI autorizzati dalla legge e impiegati per accertare, prevenire, indagare o perseguire reati.

Inoltre, l’AI Act introduce una serie di divieti con riferimento ad alcune pratiche considerate rischiose, tra cui:

• l’adozione di tecniche che manipolano la cognizione e il comportamento individuale;
• la raccolta casuale di dati biometrici da spazi pubblici, su Internet o tramite i sistemi di videosorveglianza;
• l’uso di sistemi per il riconoscimento delle emozioni in contesti lavorativi o scolastici;
• l’implementazione di punteggi di social scoring;
• l’elaborazione biometrica per l’inferenza di dati appartenenti a categorie particolari;
• l’impiego di sistemi con funzioni di polizia predittiva rivolti a specifici individui.

L’AI Act detta nuove regole anche con riferimento ai cd. foundation model, ossia quei sistemi computazionali basati sull’AI (ad esempio, ChatGPT) impiegati per diverse attività e finalità, quali la generazione di video, testi e immagini, conversazioni in linguaggio vocale, calcoli e altro ancora.

In relazione a tali sistemi, l’AI Act prevede l’obbligo per i fornitori di effettuare valutazioni d’impatto sui sistemi ad alto rischio o per quelli impiegati nel settore bancario e assicurativo. Tra gli altri obblighi imposti ai fornitori di questi sistemi, rientra anche quello di eseguire test per cercare di risolvere i rischi sistemici e adottare misure che garantiscano un livello adeguato di sicurezza dell’infrastruttura hardware e software.

Un ulteriore aspetto riguarda la previsione di misure volte a favorire lo sviluppo e l’adozione di un’AI sicura. Sotto questo profilo, le autorità competenti di ciascuno Stato membro sono tenute ad istituire uno spazio di sperimentazione normativa dedicato all’AI per garantire un ambiente controllato che promuove l’innovazione e facilita lo sviluppo, l’addestramento, la sperimentazione e la convalida dei sistemi di AI.

In tale contesto, è importante che i sistemi di AI, prima di essere immessi nel mercato, siano stati collaudati. Pertanto, occorre eseguire prove in condizioni reali, ossia sulla base dei dati esistenti forniti da soggetti che abbiano prestato il proprio consenso al trattamento per finalità di sperimentazione normativa per l’AI.

In ogni caso, si pone l’accento sulla tutela del diritto alla protezione dei dati personali, posto che la raccolta dei dati da parte dei sistemi di AI comporta un elevato rischio per i diritti degli interessati ove non fossero adottate misure di protezione o non venissero intraprese azioni per mitigare il rischio di trattamenti illeciti.

Per questa ragione, l’AI Act prevede regole specifiche per la protezione delle persone fisiche i cui dati sono trattati, specie con riferimento alle categorie particolari di dati (come nel caso dei sistemi di AI ad “alto rischio” che utilizzano i dataset per addestrare, testare e convalidare i modelli di apprendimento basati su AI).

I fornitori di tali sistemi possono trattare dati appartenenti a categorie particolari, a condizione che: a) l’utilizzo di tali dati sia limitato e siano adottate adeguate misure di sicurezza, b) siano implementate idonee misure volte a rendere i dati sicuri e protetti nonché soggetti a garanzie adeguate; c) i dati non siano divulgati o comunicati a terzi; e d) i dati siano cancellati una volta raggiunta la finalità del trattamento. 

Infine, non mancano le sanzioni per coloro che violano le previsioni dell’AI Act. Infatti, in base alla tipologia di violazione commessa, l’autorità competente potrà irrogare una sanzione pari ad un importo massimo (che oscilla tra 7,5 e 35 milioni di euro) ovvero, se il trasgressore è un’impresa, a una percentuale del fatturato mondiale totale annuo relativo all’esercizio precedente, se superiore. È prevista un’eccezione per le PMI o startup, a cui si applicheranno sanzioni ridotte.

Per approfondimenti: Artificial Intelligence Act

Il Garante Privacy sanziona un Comune per videosorveglianza illecita e violazione della privacy dei dipendenti

Il Garante per la protezione dei dati personali ha sanzionato un Comune per trattamento illecito di dati personali tramite videosorveglianza. L'intervento è avvenuto a seguito della segnalazione di una dipendente che contestava l'installazione di una telecamera vicino all’orologio-timbratore, l’unico strumento utilizzato per la rilevazione dell’orario di servizio dei dipendenti. Il Comune aveva utilizzato le immagini per contestare alla dipendente alcune violazioni dei propri doveri d’ufficio, tra cui il mancato rispetto dell'orario di servizio e, alla richiesta di motivazioni da parte del Garante Privacy, il Comune ha giustificato la presenza della telecamera con motivi di sicurezza. Tuttavia, il Garante ha rilevato che il Comune non aveva rispettato le procedure di garanzia previste per i controlli a distanza e aveva usato le immagini per scopi disciplinari. Inoltre, il Comune non aveva fornito un'informativa adeguata ai lavoratori e ai visitatori sul trattamento dei dati personali tramite la telecamera.

Per quanto la sanzione irrogata al Comune sia di modesta entità, l’episodio evidenzia chiaramente la delicatezza della tematica, che richiede un’attenta gestione da parte delle aziende.

Per approfondimenti: provvedimento dell’11 aprile 2024 (10013356)

Telemarketing: Il Garante Privacy sanziona due gestori di energia per 100mila Euro

Il Garante per la protezione dei dati personali ha sanzionato due gestori di energia con multe di 100mila euro ciascuno per trattamento illecito di dati personali. L'azione è seguita a due reclami e 56 segnalazioni da parte di utenti che hanno ricevuto telefonate indesiderate e attivazioni non richieste di contratti energetici. Le indagini hanno rivelato che le chiamate, effettuate senza consenso degli interessati, erano rivolte principalmente a utenti iscritti nel Registro pubblico delle opposizioni (Rpo). I call center, dopo aver acquisito i contatti degli utenti da società terze e agenti o procacciatori, contattavano illegalmente gli utenti stessi, molti dei quali sottoscrivevano poi contratti di fornitura. Il Garante ha inoltre ingiunto ai call center di implementare idonee misure tecniche, organizzative e di controllo affinché il trattamento dei dati personali degli interessati avvenga nel rispetto della normativa sulla privacy.

Per approfondimenti: provvedimento dell’11 aprile 2024 (10008076)

Videosorveglianza con riconoscimento facciale a Roma: il Garante apre un’istruttoria

Il Garante per la protezione dei dati personali ha avviato un'istruttoria su un progetto di videosorveglianza con riconoscimento facciale nelle stazioni della metropolitana di Roma. Stando alle notizie di stampa, in vista del Giubileo l'Amministrazione di Roma Capitale prevede di installare telecamere con riconoscimento facciale, capaci di identificare “azioni scomposte” all’interno della metropolitana da parte di chi in passato si è reso autore di “atti non conformi”. Il Garante ha quindi richiesto all’Amministrazione di Roma Capitale di fornire una descrizione tecnica delle funzionalità di riconoscimento facciale, la finalità, la base giuridica del trattamento dei dati biometrici e una copia della valutazione d'impatto sulla protezione dei dati, concedendo all'Amministrazione un termine di 15 giorni per rispondere. L'Autorità ha inoltre ricordato che fino al 2025 è in vigore una moratoria sull'uso di sistemi di videosorveglianza con riconoscimento facciale in luoghi pubblici o aperti al pubblico da parte delle autorità pubbliche o dei soggetti privati. Solo l’autorità giudiziaria, nell’esercizio delle funzioni giurisdizionali, e le autorità pubbliche, a fini di prevenzione e repressione dei reati possono effettuare tali attività di trattamento, previa approvazione del Garante.

Per approfondimenti: comunicato del 9 maggio 2024

Modifiche al Codice Privacy: semplificate le regole per la ricerca medica, biomedica ed epidemiologica

La recente modifica al Codice Privacy italiano, avvenuta tramite la conversione del decreto-legge 2 marzo 2024 n. 19, introduce significativi cambiamenti nel settore della ricerca scientifica in campo medico, biomedico ed epidemiologico. In particolare, secondo la nuova formulazione dell’art. 110 del Codice Privacy, nei casi in cui non sia possibile ottenere il previo consenso dell’interessato, i dati personali dei pazienti possono essere trattati per fini di ricerca scientifica in ambito medico, biomedico ed epidemiologico a condizione che sia stato ottenuto il parere favorevole del comitato etico e che siano osservate le garanzie dettate dal Garante Privacy. È stato dunque eliminato il requisito dell’autorizzazione preventiva da richiedere al Garante Privacy, sostituito dal rispetto delle garanzie indicate dal Garante Privacy nelle regole deontologiche sul trattamento di dati per fini di ricerca. 

Il Garante per la protezione dei dati personali dovrà dunque intervenire con misure generali valide per una pluralità di progetti attraverso le regole deontologiche, che saranno sottoposte a consultazione pubblica, coinvolgendo anche la comunità scientifica nella loro formazione.

Questa riforma ha l’obiettivo di bilanciare la necessità di proteggere i dati personali con l'esigenza di facilitare la ricerca scientifica, particolarmente rilevante nel contesto della salute pubblica.

Per approfondimenti: provvedimento 9 maggio 2024 (10016146)

EDPB: Pubblicata la relazione annuale

La relazione annuale del comitato europeo per la protezione dei dati (“EDPB”) riepiloga le attività svolte dal comitato nel corso dell’anno (raccomandazioni e relazioni sulle migliori pratiche formulate dal comitato, decisioni vincolanti, applicazione pratica degli orientamenti e così via).

Nel corso dell’anno 2023, l’EDPB ha adottato due decisioni vincolanti, una decisione vincolante avente carattere d’urgenza e due nuove linee guida. Inoltre, l’EDPB ha adottato 37 pareri ai sensi dell’art. 64 del GDPR, la maggior parte dei quali riguardanti il tema delle c.d binding corporate rules e quello dei requisiti di accreditamento degli organismi di certificazione. Infine, l’EDPB ha adottato due pareri legislativi, di concerto con l’EDPS.

Con specifico riferimento alle decisioni vincolanti, si segnalano le seguenti:

• Decisione vincolante 1/2023, con cui l’EDPB ha risolto una controversia sui trasferimenti di dati da parte di Meta Platforms Ireland Limited.
• Decisione vincolante 2/2023, con cui l’EDPB ha risolto una controversia in materia di trattamento dei dati di utenti di età compresa tra i 13 e i 17 anni da parte di TikTok Technology Limited, rilevando che i pop-up di registrazione e di pubblicazione dei video non presentassero all’utente le opzioni in modo oggettivo e neutrale. 

Inoltre, nel corso del 2023 l’EDPB ha adottato le seguenti linee guida:

• Linee guida 03/2022, adottate in data 14 febbraio 2023, in materia di c.d. design patterns ingannevoli nelle piattaforme di social media, aventi l’obiettivo di stabilire raccomandazioni e orientamenti pratici ai fornitori di social media, su come valutare ed escludere i design ingannevoli nelle piattaforme social.
• Linee guida 05/2022 sull’utilizzo della tecnologia di riconoscimento facciale (FRT) nell’ambito dell’applicazione della legge. Le linee guida forniscono informazioni rilevanti per i legislatori a livello europeo e nazionale, nonché per le autorità di polizia, quando implementano e utilizzano tali sistemi FRT.

Per approfondimenti: Relazione annuale EDPB

Il parere dell’EDPB sull’utilizzo delle tecnologie di riconoscimento facciale da parte degli operatori aeroportuali

A fine maggio l’EDPB ha adottato un parere (Opinion n. 11/2024) sull’uso delle tecnologie di riconoscimento facciale per semplificare il flusso dei passeggeri e la conservazione dei dati biometrici da parte degli operatori aeroportuali.

Il parere, in particolare, analizza la compatibilità del trattamento con:

• il principio di limitazione della conservazione (art. 5, paragrafo 1, lettera e), GDPR),
• il principio di integrità e riservatezza (articolo 5, paragrafo 1, lettera f), GDPR),
• la protezione dei dati fin dalla progettazione e per impostazione predefinita (articolo 25 GDPR),
• la sicurezza del trattamento (articolo 32, GDPR).

Preliminarmente, l’EDPB osserva che nell’UE non esiste un obbligo giuridico uniforme per i gestori aeroportuali e le compagnie aeree di verificare che il nome sulla carta d’imbarco del passeggero corrisponda al nome sul loro documento d’identità, ma l’eventuale obbligo è eventualmente oggetto di leggi nazionali. Pertanto, qualora la legge nazionale non imponga alcuna verifica dell’identità dei passeggeri, non sarà possibile effettuare il riconoscimento mediante l’uso di dati biometrici, in quanto ciò comporterebbe un trattamento eccessivo di dati personali.

Ciò premesso, l’EDPB ha preso in considerazione la conformità del trattamento dei dati biometrici dei passeggeri con riguardo a quattro diversi scenari.

1. Dati memorizzati unicamente sui dispositivi personali dei passeggeri

In questo scenario, i dati biometrici sono memorizzati nei dispositivi personali dei passeggeri, sotto il loro esclusivo controllo, e vengono utilizzati per l’autenticazione ai vari checkpoint aeroportuali. Questo scenario potrebbe essere compatibile con il GDPR, a condizione che siano implementate adeguate misure di sicurezza e che non esistano soluzioni alternative meno intrusive.

• Dati memorizzati centralmente all’interno dell’aeroporto con chiavi di accesso detenute dai passeggeri

Nel secondo scenario i dati biometrici sono memorizzati centralmente nell’aeroporto in forma criptata, la cui chiave di decrittazione è in possesso dei soli passeggeri. L’EDPB ritiene che, sebbene la memorizzazione centralizzata comporti dei rischi, questi possono essere mitigati con adeguate misure di sicurezza, rendendo il processo compatibile con il GDPR, a condizione che il periodo di memorizzazione sia giustificato e limitato al minimo necessario.

• Dati memorizzati centralmente sotto il controllo dell’operatore aeroportuale

Un’altra ipotesi considerata dall’EDPB è quella in cui i dati biometrici sono memorizzati centralmente sotto il controllo dell’operatore aeroportuale, consentendo l’identificazione dei passeggeri, per un massimo di 48 ore. Secondo il parere dell’EDPB, questo scenario non è compatibile con il GDPR, poiché la centralizzazione comporta rischi elevati per i diritti fondamentali dei passeggeri in caso di violazione dei dati.

• Dati memorizzati nel cloud sotto il controllo delle compagnie aeree o dei loro fornitori di servizi

Infine, l’EDPB valuta il caso in cui dati biometrici sono memorizzati nel cloud sotto il controllo della compagnia aerea o del suo fornitore di servizi, consentendo l’identificazione dei passeggeri. Questo scenario comporta rischi elevati poiché i dati possono essere accessibili a più entità, inclusi fornitori non appartenenti all’EEA. L’EDPB conclude che questo scenario non è compatibile con il GDPR a causa dell’elevato rischio di violazione dei dati e della mancanza di controllo da parte dei passeggeri sui propri dati.

In tutti i casi dovrebbero essere trattati solo i dati biometrici dei passeggeri che si iscrivono attivamente e prestano il proprio consenso.

In conclusione, l’EDPB ha rilevato che gli scenari in cui i dati biometrici sono conservati esclusivamente dai passeggeri (scenario 1) o in una banca dati centrale, ma con una chiave di decrittazione nelle sole mani degli utenti (scenario 2), se implementati con un elenco di garanzie minime raccomandate, sono gli unici che risultano compatibili con i principi del GDPR sopra richiamati e che controbilanciano adeguatamente l’intrusività del trattamento, garantendo agli interessati il massimo controllo sui propri dati personali.

Gli scenari 3 e 4, al contrario, sono considerati dall’EDPB troppo intrusivi e non proporzionati ai benefici attesi e, pertanto, le soluzioni basate sull’archiviazione in una banca dati centralizzata all’interno dell’aeroporto o nel cloud, senza chiavi di decrittazione nelle mani del passeggero, non possono essere ritenute compatibili con i principi sopra richiamati.

Per approfondimenti:

EDPB, “Opinion 11/2024 on the use of facial recognition to streamline airport passengers’ flow (compatibility with Articles 5(1)(e) and(f), 25 and 32 GDPR”, 23 May 2024.