Il 17 agosto la Autorità di protezione dei dati personali francese, la CNIL, ha comminato una sanzione di 600.000 euro alla catena alberghiera AccorHotels, che ha sede in Francia, per aver utilizzato una newsletter contenente offerte commerciali di suoi partners che veniva inviata automaticamente, senza alcun consenso esplicito da parte degli interessati e senza adeguata informativa sull’uso dei dati a tutti i clienti che avessero fatto una prenotazione direttamente presso uno dei suoi hotels o sul sito della stessa Accor per prenotare un stanza.

In data 22 giugno 2022 la Corte di Giustizia UE si è pronunciata nella causa C-534/20 sul rinvio pregiudiziale proposto dal Tribunale del Lavoro federale tedesco nella causa tra un Data Protection Officer e il suo datore di lavoro. La causa davanti al Tribunale del lavoro era sorta in conseguenza del fatto che in data 13 luglio 2018 la Società Leistritz aveva comunicato, con lettera al dipendente (LH) la cessazione a partire dal 18 agosto 2018 del rapporto di lavoro esistente con LH in qualità di DPO interno della Società stessa a seguito di una ristrutturazione interna in base alla quale “l’attività di consulente legale interno e il servizio di protezione dei dati doveva essere esternalizzato”.

Lo scioglimento delle Camere e l’ormai certo avvio di una nuova campagna elettorale che coinvolgerà tutti gli italiani consiglia i candidati e i responsabili dei trattamenti dei dati personali che operano per i partiti o i comitati promotori dei candidati di prestare la massima attenzione al tema dell’uso e dei trattamenti dei dati personali.

In data 11 luglio 2022 l’Ufficio stampa del Garante per la protezione dei dati personali italiana ha reso noto che la medesima Autorità ha adottato in data 7 luglio 2022 un provvedimento di urgenza nei confronti di Tik Tok col qual ha avvertito la piattaforma che è illecito utilizzare dati personali archiviati nei dispositivi degli utenti per profilarli e inviare ad essi pubblicità personalizzata senza un loro esplicito consenso.

Da tempo le autorità garanti europee, EDPB e EDPS, si pongono il tema dei problemi connessi all’uso dell’Intelligenza Artificiale e al trattamento dei dati, in particolare dei dati personali. Non a caso tanto lo EDPS quanto lo EDPB hanno già ripetuto in più occasioni la illiceità della raccolta e del trattamento tramite AI di dati biometrici, considerando questi trattamenti vietati in ragione dei rischi che comportano per la tutela dei diritti delle persone nell’ambito della Carta dei diritti fondamentali della UE.

Il 16 maggio 2022 il Consiglio della UE ha approvato in via definitiva il Digital Governance Act che ora è in corso di pubblicazione. Il nuovo regolamento entrerà in vigore il ventesimo giorno successivo alla pubblicazione in G.U. della UE prevista prima dell’estate e dovrà essere applicato negli Stati membri allo scadere dei 12 mesi successivi alla data della sua entrata in vigore nella UE.

In data 12 maggio 2022 lo European Data Protecion Board ha adottato due linee guida di grande interesse. La prima, numerata 04/2022, “on calculation of administrative fines under the GDPR”, riguarda le regole che le autorità di controllo devono applicare per definire le sanzioni che esse possono comminare nell’ambito dei loro poteri. La seconda, numerata 05/2022, è dedicata alle regole relative all’uso delle tecnologie di riconoscimento facciale, valutate con riferimento ai poteri delle autorità di law enforcement.

Di recente sul Wall Street Journal è apparso un articolo di Angus Loten intitolato “Financial Technology Firms Tap AI to Reach More Borrowers”, in cui viene sottolineato come sia sempre più diffuso il ricorso a tecnologie di Intelligenza Artificiale per aiutare le fintech companies operanti nel settore della concessione di prestiti per aiutare imprese e anche singole persone, in primo luogo gli studenti, a reperire denaro da prestatori professionali e non per sostenere le loro attività di impresa o comunque orientate a implementare le capacità dei destinatari dei prestiti e quindi anche il valore delle loro attività presenti o future.

Il 5 maggio 2022, lo European Data Protection Supervisor (EDPS) e lo (European Data Protection Board) EDPB hanno pubblicato un parere, adottato congiuntamente dalle due autorità, sul Data Act suscitando l’immediata attenzione degli interessati che comunque ancora attendono di conoscere il contenuto dell’accordo raggiunto qualche giorno fa tra il Consiglio e il Parlamento UE sulla proposta di Regolamento UE.

Come abbiamo detto più volte anche nelle pubblicazioni di Federprivacy, l’Unione Europea è impegnata ormai da anni in una sfida a tutto campo per conquistare la sovranità digitale e competere a livello globale con gli ecosistemi USA e Cina. È ovvio però che in questo quadro la figura del DPO, pur senza che il GDPR sia modificato, è destinata a cambiare.