Avv. Andrea Baldrati +39 340 4895530 Avv. Armando Strinati +39 333 5247665

News

16 Ottobre 2020

COOKIE CONNECT MILANO: L'Avv. Andrea Baldrati tra i relatori

cookie connect milano Andrea Baldrati
Compliance, Eventi, GDPR e Diritto Digitale

Il prossimo 21 Ottobre si terrà in conference call il Cookie Connect Milano, un workshop gratuito organizzao da One Trust, piattaforma leader nel management privacy.

L'evento sarà incentrato sulla guida globale ai cookie da parte delle autorità di regolamentazione e dai garanti nazionali, come ICO, CNIL, CCPA, LGPD e PDPA, nonché sui cambiamenti tecnologici in atto che stanno influenzando il futuro dei cookie e del consenso.

1. I TEMI DELL'EVENTO: UN FOCUS SUI COOKIE WALL

All'interno del panel di esperti sarà presente anche l'Avv. Andrea Baldrati, che approfondirà alcuni aspetti normativi legati ai cookie, anche alla luce delle recenti linee guida sul consenso emesse dall'EDPB (il Comitato Europeo sulla protezione dei dati personali), che ha affrontato il tema del cookie wall, deponendo per la sua non conformità.

Una pratica, quella del cookie wall, che si pone in netto contrasto con il principio di libertà del consenso, mettendo l'utente nella condizione di dover scegliere tra rilasciare il consenso e quindi accedere al sito, oppure non rilasciarlo con la consuegenza di non potervi accedere.

Questo scenario rappresenta una chiara violazione del GDPR (cfr. art. 7 pgf 4) in quanto il consenso ai cookie condiziona l'accesso al sito web: l'utente sa che senza consenso non potrà usufruire delle funzionalità o dei contenuti di quel sito per cui è chiaro che la scelta di rilasciarlo non può ritenersi libera.

Verrà inoltre affrontato il tema del legittimo interesse, come base di back-up dei cookie in caso di diniego del consenso da parte dell'utente.


Una pratica diffusa di recente per ovviare alla "morte" del consenso per i cookie di terze parti, ma che si appalesa del tutto contraria ai principi di accountability.
Il Titolare, infatti, proprio sulla base di tale principio, è chiamato a scegliere la base giuridica più appropriata rispetto al tipo di trattamento effettuato (anche con riguardo ai cookie); ma una volta che è stata fatta una scelta non si può optare per una base giuridica di riserva.

Diversamente, l'utente non sarebbe più messo nelle condizioni di capire qual è la base giuridica effettivamente attiva in corrispondenza di un dato trattamento.

Inoltre, il legittimo interesse rappresenta un base giuridica complessa, che necessita di un apposito bilanciamento di interessi prima di essere applicata, per cui non può certo essere implementata come base giuridica di back-up.

2. IL PROGRAMMA DELL'EVENTO

Questi ed altri temi verranno approfonditi nel corso del Cookie Connect di Milano che avrà inizio alle ore 10.
Di seguito vi riportiamo il programma dell'evento

10.00 | Benvenuti e Introduzione
10.10 | Guida all’applicazione & gestione dei cookie
10.30 | Best Practices per la conformità cookie
10.50 | Panel di esperti
11.20 | Q&A

Saranno inoltre presenti tra il Panel di relatori anche Valentina Raineri, Country Offering Manager & Solutions Engineer di OneTrust, Fabrizio Mazzoli, Italy General Counsel presso Amplifon e Giampiero Lago, Web Area Manager presso Fondazione Telethon.

È possibile iscriversi gratuitamenteall'evento tramite il seguente indirizzo: https://bit.ly/3nSBSQf

La locandina dell'evento del 21.10.20 | Cookie Connect Milano | L'elenco del Panel di Esperti.
14 Settembre 2020

BONUS 110%: sanzioni e rischi per il professionista

ONUS 110% sanzioni e rischi per il professionista
Agenzia delle Entrate, Condomino, Contenzioso, Immobili e Tutela del Patrimonio, Proprietà, Tutela

Il testo del Decreto Rilancio fa emergere un elemento incontrovertibile: per riuscire ad usufruire delle agevolazioni ivi previste (tra cui il c.d. Superbonus 110%, così chiamato per il riferimento l’aliquota di detrazione delle spese sostenute dal 1° luglio 2020 al 31 dicembre 2021, per specifici interventi in ambito di efficienza energetica, di interventi antisismici, di installazione di impianti fotovoltaici o delle infrastrutture per la ricarica di veicoli elettrici negli edifici) è necessario produrre una corposa, oltre che puntuale e veritiera, documentazione volta a dimostrare la sussistenza di tutti i requisiti necessari.


Per fare questo il committente dovrà necessariamente avvalersi di diverse professionalità (imprese, certificatori, termotecnici, ingegneri, architetti, progettisti e così via) le quali saranno, ognuno per la propria parte di competenza, fondamentali per l’ottenimento dei vari vantaggi fiscali.

1. CHI VIENE SANZIONATO

E’ bene precisare che, in caso di errata o falsa dichiarazione (anche solo parziale) circa la sussistenza dei requisiti, e fatta salva l’applicazione di sanzioni penali ove il fatto costituisca reato, ad essere sanzionati pesantemente sono sia il contribuente/committente, che comunque sarà il soggetto di riferimento nei controlli effettuati dall’Agenzia delle Entrare, che del singolo professionista.

2. LE SANZIONI A CARICO DEL PROFESSIONISTA

In particolare, il decreto in parola prevede per il rilascio di “attestazioni e asseverazioni infedeli”, e per ciascuna attestazione o asseverazione resa, l’applicazione nei confronti dei professionisti della sanzione amministrativa pecuniaria di importo variabile da un minimo euro 2.000 ad un massimo di euro 15.000. E’ bene precisare che la “non veridicita' delle attestazioni o asseverazioni comporta la decadenza dal beneficio da cui consegue l'onere di versamento allo Stato di tutte le somme dovute da parte del committente.

Inoltre, ai professionisti è imposto l’obbligo di stipulare apposita polizza di assicurazione a copertura di eventuali danni provocati a clienti (ed al bilancio dello Stato), con massimale adeguato al numero delle attestazioni o asseverazioni rilasciate e agli importi degli interventi oggetto delle predette attestazioni o asseverazioni e, comunque, di importo complessivo non inferiore a 500.000 euro.

Sanzioni specifiche sono poi previste per i committenti ritenuti dall’Erario c.d “furbetti”. Nei confronti di questi, e precisamente verso coloro che fanno istanza del bonus senza averne (anche solo parzialmente) diritto, l'Agenzia delle Entrate procederà al recupero integrale dell'importo della detrazione concessa maggiorato degli interessi (art. 20 DPR n. 602/1973) e delle sanzioni (art. 13 dlgs n. 471/1997), con accertamento che potrà essere effettuato a campione entro 8 anni. Resta inteso che con il committente potrà rispondere in solido anche il fornitore che ha applicato lo sconto oppure i cessionari per il pagamento dell'importo del credito d'imposta e degli interessi.

In definitiva, nel caso in cui venisse riscontrata da parte dell’Agenzia delle Entrate l’insussistenza dei requisiti, il professionista potrà essere tenuto costretto al risarcimento integrale del danno procurato al committente oltre che sanzionato pesantemente dal punto di vista pecuniario. Da parte sua, il committente potrà essere costretto al versamento integrale delle somme non versate, maggiorate di interessi e sanzioni che possono raggiungere anche il 200% della misura dei crediti.

10 Settembre 2020

TARGETING SUI SOCIAL: i rischi privacy del titolare di una Fan Page

targeting social fanpage
Compliance, Consulenza e Gestione d’Impresa, GDPR e Diritto Digitale

Le pagine social aziendali (c.d. fanpage) sono uno strumento di marketing indispensabile - anche e sopratutto - per i servizi di targeting offerti dai fornitori (come Facebook), che consentono ai titolari di quelle pagine di trasmettere messaggi commerciali e/o promozionali ad utenti mirati, così da generare le famose conversioni, dal click all'acquisto del prodotto o servizio.

1. LE RESPONSABILITÀ DELL'AMMINISTRATORE DELLA FAN PAGE E DEL SOCIAL NETWORK

Le campagne di targeting possono offrire ritorni economici macroscopici, ma allo stesso tempo pongono serie criticità sotto il profilo del trattamento dei dati personali degli utenti; criticità di cui l'amministratore della pagina social deve tenere conto, ma di cui spesso si è poco consapevoli.

E di fatti, proprio perchè la campagna di targeting viene creata all'interno di un social network, si è portati erronamente a ritenere che il fornitore del servizio - il Facebook o Linkedin di turno - sia l'unico responsabile ai sensi della normativa privacy.
Niente di più sbagliato!

La Corte di Giustizia Europea, a partire dal caso "Wirtschaftsakademie" (C-210/16), ha infatti chiarito che l'amministratore di una "fan page" incide sulla tipologia di trattamento dei dati personali degli utenti, ad esempio definendo i criteri in base ai quali devono essere elaborate le statistiche o designando le categorie di persone a cui inviare messaggi o annunci, selezionando una audience mirata.

Per questo motivo, l'amministratore va inteso come un "soggetto attivo" che, come tale, ha delle proprie responsabilità in materia di privacy nel momento in cui progetta campagne di targeting.

Richiamandoci al gergo specialistico della normativa privacy europea (c.d. GDPR), esiste quindi un rapporto di co-titolarità fra il social media provider (es. Facebook) e l'amministratore della pagina. Bisogna però fare chiarezza sul punto: co-titolarità non significa necessariamente uguale responsabilità in ogni fase del trattamento dei dati.

Il concetto è piuttosto intuitivo se lo associamo ad un caso concreto: l'amministratore di una pagina Facebook può certo scegliere fra un ventaglio di criteri di targeting degli utenti (età, genere, residenza ecc...), ma il numero e la tipologia di tali criteri sono stati già decisi a monte dal Social Network.

Pertanto la responsabilità congiunta si estenderà a quelle fasi di trattamento in cui entrambi gli attori coinvolti hanno inciso sulle modalità del trattamento; nel caso di prima, si estenderà al trattamento dei dati personali conseguenti alla selezione dei criteri di targeting e alla successiva visualizzazione dell'annuncio pomozionale al pubblico scelto; coprirà anche la fase di report statistico, qualora il provider fornisca all'amministratore i risultati della campagna di targeting.

Ma di certo non si estenderà alle operazioni di trattamento che si verificano ad esempio prima della selezione dei criteri di targeting pertinenti, su cui l'amministratore non avrà avuto alcun potere decisionale.

2. I RISCHI PRIVACY DI UNA CAMPAGNA DI TARGETING

  • Un primo rischio riguarda il minor controllo che gli utenti esercitano sui propri dati personali, che spesso vengono utilizzati per finalità ulteriori e non previste rispetto a quelle per le quali gli stessi utenti li hanno ceduti o divulgati all'interno della piattaforma social.
  • Un secondo tipo di rischio riguarda la possibilità di discriminazione. Le campagne di targeting possono infatti generare effetti discriminatori in relazione alla razza o all'origine etnica, allo stato di salute o all'orientamento sessuale di un individuo o ad altre caratteristiche ritenute sensibili. Ad esempio, l'uso di tali criteri nel contesto dell'annuncio di una offerta di lavoro può ridurre la visibilità di questa opportunità di lavoro a persone che rientrano in determinati gruppi di individui, spesso sulla base di deduzioni maturate dagli algoritmi del social network (es. orientamento politico in base alle pagine social di partiti o politici che segui). Questa tipologia di rischio ovviamente aumenta con l'uso di sistemi di intelligenza artificiale (ne abbiamo parlato QUI)
  • Un altro rischio è la possibile manipolazione degli utenti; un rischio accentuato nelle campagne di targeting, che hanno lo scopo di influenzare le scelte degli utenti. La vastità dei dati raccolti dai social permette di creare profili degli utenti basati anche su "emozioni" o preoccupazioni su cui fare leva per aumentare l'efficacia di un messaggio (il caso Facebook-Cambride Analytica è emblematico).

3. COME CREARE CAMPAGNE TARGETING CHE SIANO CONFORMI ALLE NORME PRIVACY?

Il primo passo è compiere una valutazione dei rischi privacy connessi alla campagna di targeting che vogliamo intraprendere.

Ogni caso è a sè stante, e quindi necessario il supporto di un consulente legale specializzato o del DPO (Data Protection Officer) se nominato, al fine di ponderare tutti i rischi conseguenti e il vostro livello di responsabilità, escludendo le responsabilità proprie del Social Network.

Questa valutazione è fondamentale, perchè laddove emerga che il trattamento dei dati connesso al targeting degli utenti presenta un rischio elevato, sarà necessario procedere ad una valutazione di impatto (c.d. Data Protection Impact Assessment), per mettere in campo una serie di misure atte a mitigare quel rischio (qui per approfondire).
Si pensi al caso di messaggi o annunci che sono inviati ad una audience vulnerabile (es. minori) o all'ipotesi di un advertising piuttosto intrusivo (es. messaggi in chat private).

Il tema è certamente complesso e richiede competenze specialistiche, le quali però saranno fondamentali per sfruttare a pieno e in sicurezza i servizi di targeting che oggi sono messi a disposizione di tutte le aziende che hanno deciso di avere una forte presenza sui Social.

Hai bisogno di assistenza legale?

Siamo pronti a fornirti un supporto concreto per difendere in ogni sede i tuoi diritti.
Contattaci