, , , , , , , , ,

LA SANZIONE DELL’AGCM A TIKTOK PER IL CASO FRENCH SCAR. ACCOUNTABILITY E GESTIONE DEI CONTENUTI PERICOLOSI.

Di Giacomo Conti

Con provvedimento in data 05 marzo 2024, l’Autorità Garante della Concorrenza e del Mercato ha comminato a TikTok Information Technologies UK Limited una sanzione amministrativa pecuniaria di 10.000.000 € (diecimilioni di euro) per inadeguata vigilanza sui contenuti pubblicati dagli utenti.

La decisione dell’autorità si pone nel solco di un filone interpretativo che mira a responsabilizzare le piattaforme per la gestione dei contenuti e che individua una vera e propria responsabilità per mancata gestione del rischio laddove i contenuti condivisi all’interno del servizio possano porre dei rischi per i diritti degli utenti. Merita menzione sul punto il precedente caso AGCM contro TripAdvisor dove la piattaforma di recensioni era stata sanzionata per Mezzo Milione di Euro per non avere vigilato sulle false recensioni all’interno della piattaforma la cui presenza avrebbe provocato danni ad albergatori e ristoratori (https://www.agcm.it/media/comunicati-stampa/2014/12/alias-7365 ).

Nel caso in esame, l’autorità di vigilanza ha rilevato all’interno della piattaforma TikTok, da un lato, la presenza di contenuti suscettibili di minacciare la sicurezza psico-fisica degli utenti, quali quelli relativi alla challenge c.d. “cicatrice francese” (“french scar”); e, dall’altro, l’inadeguatezza delle azioni realizzate dal social per evitarne la diffusione. In particolare, è stato accertato che questi contenuti pericolosi venivano addirittura proposti reiteratamente agli utenti attraverso ‘sistemi di raccomandazione’ suscettibili di condizionare le scelte dei consumatori, nella specie di quelli vulnerabili.

In particolare, i contenuti vengono proposti sulla base di un sistema di profilazione algoritmica che individua e seleziona contenuti personalizzati in base a una combinazione di fattori volti a cogliere le preferenze e gli interessi del singolo attraverso le interazioni con gli altri utenti dove vengono inseriti like, quali video sono condivisi, commenti inseriti, tempo speso a vedere un vide,;  le caratteristiche del video come didascalie, hashtag, suoni, paese; nonché le informazioni sull’utente come le impostazioni del dispositivo, dell’account o la lingua selezionata. Inoltre, è integrato un sistema di consultazione basato sui feed Seguiti”, dove sono rinvenibili i video pubblicati dagli utenti di cui l’utente è diventato “follower”.

L’AGCM ha, peraltro, messo bene in evidenza come il sistema di ricerca attiva dei contenuti operi solo in via residuale a maggiore evidenza di come gli utenti siano esposti ai contenuti proposti dalla piattaforma. In particolare, le risultanze istruttorie hanno dimostrato che adolescenti vulnerabili sono esposti con una frequenza maggiore a contenuti pregiudizievoli a causa del sistema di raccomandazione di TikTok in ragione della profilazione operata dalla piattaforma.

Inoltre, l’Authority ha messo in luce come l’aumento dell’attività degli utenti sulla piattaforma amplifica la redditività degli spazi pubblicitari perché il maggior utilizzo di TikTok fornisce al sistema di raccomandazione algoritmico più informazioni sulle preferenze degli utenti. Questo a maggiore dimostrazione dell’interesse della piattaforma a proporre contenuti potenzialmente perché di potenziale interesse dell’utente pure se dannosi per la salute fisica e mentale di questi.

Anche in questo caso, come accaduto in precedenza con la sanzione a TripAdvisor (v. https://www.agcm.it/media/comunicati-stampa/2014/12/alias-7365 ), l’AGCM ha ribadito l’esistenza di un vero e proprio obbligo per la piattaforma di gestire questi contenuti.

Dagli accertamenti, inoltre, è stata dimostrata l’inadeguatezza dei sistemi di moderazione dei contenuti, automatizzati e gestiti dalle risorse umane di TikTok posto che è emerso che la maggior parte dei video rimossi da TikTok riguarda le categorie che le Parti hanno definito “sicurezza dei minori”, “contenuti violenti espliciti”, “nudità e attività illegali”, mentre solo il 5% delle rimozioni ha riguardato “atti e sfide pericolose”. Nonostante l’attività umana di moderazione sia particolarmente rilevante per contenuti la cui inadeguatezza risulta meno immediata, dagli atti risulta che i componenti del “Team di moderatori” sono selezionati secondo requisiti generici come l’“attenzione alle problematiche sociale”, la familiarità con le leggi e normative relative a internet e la capacità di lavorare su turni diversi. Inoltre, è stato documentato che i moderatori vengono formati tramite corsi interni sull’applicazione delle Linee Guida che, per quanto in atti, appaiono incentrati più sui contenuti violenti, illegali, o a contenuto sessuale che non su challenge e atti pericolosi per i minori

Nella propria valutazione, pertanto, l’autorità ha ritenuto che la piattaforma avesse violato gli obblighi di diligente applicazione delle proprie Linee Guida comunicate agli utenti, condizionato indebitamente degli utenti attraverso la riproposizione di contenuti che sfruttano la vulnerabilità di alcuni gruppi di consumatori; predisposto inadeguate misure di controllo e vigilanza adottate da TikTok sui contenuti pubblicati dagli utenti, con particolare riferimento alla tutela dei soggetti minori e vulnerabili e, da ultimo, diffuso contenuti in grado di minacciare la sicurezza psico-fisica di bambini ed adolescenti.

Per queste ragioni è stata, pertanto, emessa una sanzione per pratica commerciale scorretta ai sensi degli articoli 20, comma 2 e 3, 21, comma 2 lettera b), 21, comma 4, 25, comma 1, lettera c) del Codice del consumo in quanto contraria alla diligenza professionale e idonea riconoscendo una vera e propria responsabilità per inadeguata vigilanza sui contenuti pubblicati dagli utenti.

 

 

Per maggiori informazioni si rinvia al testo integrale del provvedimento reperibile in https://www.agcm.it/media/comunicati-stampa/2024/3/PS12543-

/da
, , , , , , , ,

PRIVACY E GESTIONE DEL RISCHIO FRODI DA PARTE DI BANCHE E ISTITTUTI DI CREDITO FRA GDPR E PSD2

La sentenza 322/2023 del Tribunale di Milano rappresenta una pietra miliare in tema di responsabilità degli istituti di credito in materia di responsabilità da trattamento illecito di dati personali e per mancata prevenzione del rischio frodi e perdite finanziarie.

Le materie, infatti, presentano importanti punti di contatto e interferenza in quanto il considerando 75 al GDPR prevede espressamente le perdite finanziarie come uno dei rischi tipici derivanti da una violazione del GDPR.

La direttiva PSD2 impone a banche e istituti di credito stabilisce di adottare specifiche misure di protezione e sicurezza dei correntisti la cui efficace e corretta applicazione deve essere dimostrata secondo quanto richiede il principio di accountability.

La Corte Meneghina, nel caso in esame, ha tracciato un chiaro quadro giuridico in tema di responsabilità derivante da mancata gestione del rischio derivante dal trattamento di dati personali intervenendo chiaramente sui criteri di ripartizione dell’onere della prova.

Il Tribunale, applicando correttamente il principio di accountability, ha stabilito che grava in capo a questi l’onere di dimostrare di avere adottato adeguate misure di protezione della clientela per prevenire il rischio frodi e perdite finanziarie.

La pronuncia in esame dà atto di come la giurisprudenza di legittimità abbia già precedentemente inquadrato la responsabilità dell’istituto di credito nell’ambito della responsabilità per l’esercizio di attività pericolose. La Corte ha richiamato i precedenti in tema di disposizioni non autorizzate dal cliente su conto corrente mediante accesso abusivo a sistema di internet banking e conseguenti riflessi applicativi nell’ambito della responsabilità per trattamento dei dati personali (cfr. Cassazione, sez. I, 23 maggio 2016 n. 10638).

Secondo l’art. 15 del d.lgs. 196/2003 (Codice Privacy), citato dal Tribunale: “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”, l’istituto di credito deve fornire la prova liberatoria dalla propria responsabilità dimostrando di aver adottato tutte le misure idonee ad evitare il danno. Da valutarsi secondo le conoscenze acquisite in base al progresso tecnico, alla natura dei dati, alle caratteristiche specifiche del trattamento, mediante adozione di misure idonee e preventive per impedire l’accesso o il trattamento non autorizzato ai sensi dell’art. 31 e 36 del d.lgs. 196/2003.

Applicando in combinato disposto l’art 2050 c.c. e l’art. 15 del codice della privacy, l’istituto che svolge un’attività di tipo finanziario o in generale creditizio (…) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico. La responsabilità è esclusa solo se il titolare prova che l’evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore.

La Cassazione ha, quindi, rilevato che ad analoga conclusione si perviene applicando le disposizioni del d.lgs. 11/2010 di attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno. L’art. 10 del d.lgs. 11/2010 pone in capo al prestatore dei servizi di pagamento l’onere di dimostrare, in caso di disconoscimento di una operazione l’onere di dimostrare che l’operazione non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione ovvero altri inconvenienti connessi al servizio in caso di disposizione di ordini di pagamento in caso di disconoscimento dell’operazione da parte del cliente.

Richiamando la Cassazione, il Tribunale di Milano argomenta che “in punto di ripartizione delle responsabilità derivanti dall’utilizzazione del servizio, il citato D.Lgs., artt. 10 e 11, prevede che, qualora l’utente neghi di aver autorizzato un’operazione di pagamento già effettuata, l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio. E nel contempo obbliga quest’ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode, e salva naturalmente la possibilità per il prestatore di servizi di pagamento di dimostrare anche in un momento successivo che l’operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, dall’utilizzatore, la restituzione dell’importo rimborsato”.

Per l’effetto, il Tribunale ha ritenuto che tale onere non può venire assolto senza la dimostrazione dell’adozione di specifiche cautele antiphishing “idonee ad evitare l’acquisizione fraudolenta delle chiavi di accesso al sistema da parte di terzi” (così Cass., Sez. I, 29.12.2017 n. 31199).

L’istituto di credito convenuto, nel caso in esame, non ha dimostrato e nemmeno specificamente allegato, secondo il Tribunale, quali cautele avrebbe adottato sia in generale per contrastare il fenomeno del phishing sia nello specifico per evitare il prodursi del danno patito dagli attori, con riguardo a ciascuno dei tre bonifici istantanei eseguiti senza l’autorizzazione degli attori.

Il Tribunale non ha, pertanto, ritenuto assolto l’onere della prova gravante sull’istituto di credito ai sensi dell’art. 1218 c.c. e la conseguente non imputabilità del danno.

Secondo la Corte meneghina, gli istituti di credito devono adottare in relazione a tali operazioni delle cautele e verifiche ulteriori rispetto a quelle predisposte per i bonifici standard, cautele e verifiche che devono essere preliminari all’esecuzione della disposizione, per evitare che la disposizione impartita da terzi non autorizzati provochi effetti irreversibili sul patrimonio del pagatore, cautele che, nel caso di specie la convenuta ha completamente pretermesso, non avendo compiuto alcuna specifica attività in tal senso.

Importantissimo è il principio affermato dalla Corte Territoriale secondo cui l’automatizzazione dei controlli bancari consentita dal progresso scientifico e tecnologico non può comportare una regressione del livello di tutela che deve essere garantito al singolo risparmiatore.

Tale soluzione, imposta dalla disciplina di cui agli artt. 10 ss. del d.lgs. 11/2010, appare del tutto coerente anche dal un punto di vista dell’analisi economica del diritto privato. Pertanto laddove gli istituti di credito omettano di adottare sistemi di controllo per evitare il perpetrarsi di frodi ai danni dei propri clienti dovranno risarcire il danno subito dai propri clienti derivante da questo inadempimento.

Infine, il Tribunale di Milano ha argomentato come l’istituto di credito convenuto non ha nemmeno documentato o altrimenti provato di essersi effettivamente attivata per ottenere dal prestatore del servizio di pagamento del beneficiario dell’operazione, il consenso alla revoca dell’operazione ai sensi dell’art. 17.5 d.lgs. 28/2010, e risulta, anzi, dimostrato dall’attrice che solo la denuncia all’autorità di polizia giudiziaria abbia consentito di recuperare, benché parzialmente, le somme oggetto delle disposizioni disconosciute.

 

In allegato, per maggiori approfondimenti, il testo integrale del provvedimento Sentenza n. 322-2023 BLIND

/da
, , , , , , , , , ,

La protezione dei dati e del segreto aziendale. Riflessi applicativi processuali del principio di accountability

di Giacomo Conti

 

La protezione dei dati personali e delle informazioni riservate aziendali sono temi che, molto spesso, si sovrappongono e completano a vicenda: frequentemente, le misure per limitare l’accesso ai dati dei clienti non solo proteggono la privacy dei clienti da soggetti non autorizzati, ma tutelano anche informazioni che l’organizzazione ha interesse a mantenere segrete.

Pertanto; l’impostare sistemi di protezione delle informazioni aziendali e l’adozione di misure per revocare i privilegi di accesso alle informazioni a un ex dipendente una volta cessato dall’incarico non solo proteggono i dati dei propri clienti, ma anche il patrimonio informativo aziendale. Trattasi di misure di organizzative che, per quanto basilari qualunque impresa dovrebbe adottare anche a tutela dei propri interessi.

Infatti, un’organizzazione che non ha implementato policy di protezione delle informazioni e che non è in grado di dimostrarlo in corso di causa di averle applicate, verosimilmente, arriverà a soccombere in giudizio. Questa è la posizione che si sta affermando in giurisprudenza che sta tracciando dei principi processuali in tema di onere della prova di un principio sostanziale relativo all’organizzazione aziendale.

Un precedente importante è rappresentato dall’ordinanza in data 31 gennaio 2022 nell’ambito del procedimento cautelare 8293/2021 avente ad oggetto la legittimità di un accesso e conseguente scarico di una banca dati da parte di una ex dipendente nell’ambito di una compagnia di intermediazione assicurativa. Nella narrativa del ricorso, i suddetti dati sarebbero stati utilizzati al fine di sviare la clientela verso un concorrente del ricorrente.

La ex dipendente, come emergeva dai fatti di causa, aveva scaricato l’intero contenuto della sua casella e-mail, che conteneva tutte le comunicazioni inerenti ai clienti a lei affidati a seguito della cessazione del rapporto di lavoro. Nello specifico, l’accesso e download riguardavano la banca dati di clienti dell’intermediario assicurativo e il portafoglio di clienti gestito dalla ex dipendente.

Nonostante non fosse oggetto di discussione l’avvenuto download dei dati, come rilevava il Tribunale di Bologna, l’accesso al sistema le era ancora consentito in quanto la società ricorrente aveva chiesto all’ex dipendente di continuare a gestire il portafoglio clienti nelle more delle trattative dirette a cercare l’instaurazione di un nuovo rapporto di collaborazione.

Nel caso di specie, la ex dipendente accedeva liberamente al contenuto della casella di posta aziendale con le proprie credenziali di accesso. Questa circostanza fattuale arrivava a dimostrare, a livello processuale, la mancata adozione di misure ragionevolmente adeguate a mantenere le informazioni segrete.

Per l’effetto della mancata adozione delle misure di protezione del know how adeguate, la ricorrente non riusciva a dare prova della natura segreta delle informazioni sottratte con conseguente impossibilità di applicare gli articoli 98 e 99 del codice della proprietà intellettuale che tutelano il cosiddetto segreto industriale.

L’adozione di adeguate misure di protezione avrebbe dimostrato che i dati scaricati dalla ricorrente ricomprendevano informazioni commerciali segrete e dotate di valore economico in quanto segrete in quanto sottoposte a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.

Pertanto, il Tribunale concludeva che non vi fossero elementi che consentissero di accertare una condotta di concorrenza sleale ai sensi dell’art. 2598 n. 3 c.c. e respingeva il ricorso.

La pronuncia in esame mette in evidenza importanti riflessi processuali in materia di accountabilty, sotto il profilo della capacità di dimostrare in sede giudiziale di avere adottato e documentato le procedure e l’attuazione delle stesse.

Per maggiori approfondimenti v. il testo del provvedimento: ordinanzaBLIND

/da