Pubblicate dall’EDPB le nuove Linee Guida sul consenso al trattamento dei dati personali chiariscono la posizione sui cookie

Il 4 maggio 2020 l’European Data Protection Board (“EDPB”) ha pubblicato le “Guidelines 05/2020 on consent under Regulation 2016/679”. Tale contributo riprende quasi integralmente le Linee guida sul consenso ai sensi del regolamento 2016/679 (WP259 rev.01) adottate dal Gruppo di lavoro di cui all’Articolo 29 (“WP29”) e approvate dall’EDPB, optando per un approccio conservativo rispetto alle indicazioni fornite sul tema dal WP29. L’EDPB ripropone l’analisi effettuata dal proprio predecessore sul tema, ma introduce delle precisazioni importanti con riferimento al consenso all’utilizzo dei cookie.

In particolare, l’EDPB si è pronunciato rispetto alle c.d. cookie wall, ritenendo che subordinare l’accesso ai servizi e alle funzionalità di un sito web al consenso dell’utente alla memorizzazione di informazioni o all’accesso a informazioni già memorizzate sul device di quest’ultimo (cliccando su “Accetta i cookie”) non permette all’interessato di esprimere una vera e propria scelta e, pertanto, non può essere ritenuto valido il consenso eventualmente prestato. Inoltre, dopo aver confermato l’importanza di un consenso granulare, specifico e informato, nonché la necessità di garantire all’interessato la possibilità di negare o revocare il consenso senza che da ciò ne possano derivare conseguenze pregiudizievoli per lo stesso, l’EDPB chiarisce che il mero scrolling su una pagina web o azioni simili non potranno in alcun caso considerarsi una manifestazione chiara e positiva dell’interessato perché si tratterebbe di azioni difficilmente distinguibili da altre attività o interazioni da parte di un utente e, quindi, “non sar[ebbe] possibile determinare l’ottenimento di un consenso inequivocabile”.

Questa posizione è importante perché è in contrasto con quanto indicato dal Garante per il trattamento dei dati personali nel suo provvedimento dell’8 maggio 2014 relativo all’individuazione delle modalità semplificate per l´informativa e l´acquisizione del consenso per l’uso dei cookie. I provvedimenti del Garante emessi prima del 25 maggio 2018 rimangono applicabili nei limiti in cui siano compatibili con il GDPR. Tuttavia, alla luce di questa posizione dell’EDPB e della precedente sentenza della Corte di Giustizia europea sul caso Planet 49 che aveva raggiunto le stesse conclusioni dell’EDPB, ci sono argomentazioni per sostenere che il provvedimento sui cookie del Garante non sia compatibile con il GDPR.

Quindi ci sono migliaia di siti Internet italiani che dovranno cambiare le modalità in cui il consenso all’utilizzo dei cookie è prestato.

L’ICO allenta la presa sulla privacy compliance per fronteggiare l’emergenza COVID-19

L’Information Commissioner Office (ICO), l’autorità per la protezione dei dati personali inglese, ha pubblicato il “ICO’s regulatory approach during the coronavirus public health emergency”. L’Autorità, prendendo atto delle difficoltà che si ritrovano a fronteggiare gli enti pubblici e privati in questo particolare periodo di emergenza, e rimarcando il suo ruolo di autorità indipendente, tenuta ad agire nell’interesse pubblico e ad affrontare con la giusta pragmaticità e proporzionalità le sfide poste dall’attuale situazione di pandemia globale, ha aperto le porte ad un’applicazione più elastica dei precetti della normativa privacy applicabile.

L’ICO continuerà la propria attività ispettiva ma, in tale contesto, terrà in debito conto dell’impatto economico della crisi sulle realtà sottoposte a verifica. In pratica, ciò significherà un ridimensionamento dell’incisività dei poteri di indagine, consentendo in particolare periodi più lunghi per rispondere alle richieste di esibizione documentale avanzate dall’Autorità. Verranno altresì condotte meno indagini, concentrando l’attenzione su quelle circostanze che suggeriscono gravi inadempienze. Tale approccio inciderà anche sul piano delle conseguenze delle violazioni, sotto plurimi aspetti: dalla concessione di termini più ampi per porre rimedio alle eventuali violazioni precedenti alla crisi, alla previsione di una riduzione del numero di nuove sanzioni che verranno emesse, finanche alla possibilità di rivalutare i parametri considerati di volta in volta nella quantificazione dell’ammontare della sanzione eventualmente comminata.

Tuttavia, se l’Autorità dichiara espressamente di non voler “paralizzare finanziariamente” le organizzazioni, cionondimeno rimarca altresì “l’importante ruolo che il diritto all’informazione delle persone continuerà ad avere, sia per quanto riguarda la tutela della privacy che la trasparenza nel processo decisionale degli enti pubblici”. Difatti, ad esempio, le organizzazioni saranno in ogni caso tenute a notificare eventuali data breach senza indebiti ritardi (i.e., entro 72 ore dal momento in cui l’organizzazione si rende conto della violazione). Inoltre, sebbene la riduzione delle risorse delle organizzazioni possa avere un impatto sulla tempestività di riscontro alle richieste di accesso degli interessati, ciò non può costituire una giustificazione tout court: sarà comunque necessario registrare debitamente i processi decisionali e le attività di trattamento effettuate, in modo tale da assicurare che le informazioni richieste possano essere rese disponibili al termine dell’emergenza.

In altri termini, l’ICO non chiuderà gli occhi sulle inadempienze rilevate e, a tal riguardo, rimarca che continuerà ad agire con fermezza contro coloro che sfrutteranno la situazione di emergenza per utilizzare impropriamente i dati personali.

Pubblicate le nuove Linee Guida dell’EDPB sull’utilizzo dei dati di localizzazione e di strumenti di tracciamento dei contatti

Nel corso della 23° sessione plenaria, tenutasi il 21 aprile 2020, l’European Data Protection Board (EDPB) ha adottato le Linee Guida 04/2020 “on the use of location data and contact tracing tools in the context of the COVID-19 outbreak”, volte a fornire uno strumento comune nel contesto europeo alle autorità pubbliche e agli attori privati impegnati nella ricerca di nuove soluzioni, basate sul trattamento dei dati, per monitorare e contenere la diffusione del COVID-19.

Seppur consapevole dell’impossibilità di individuare soluzioni onnicomprensive nel contesto specifico e rimarcando pertanto l’esigenza di una valutazione case by case, l’EDPB fa luce sulle condizioni e i principi da seguire nel contesto delle attività di geolocalizzazione degli utenti – necessarie al fine di monitorare la diffusione del virus e valutare l’efficacia delle misure di confinamento implementate – nonché nell’adozione di ulteriori strumenti di tracciamento con cui poter individuare coloro i quali siano venuti in contatto con soggetti positivi al COVID-19 e notificare a questi ultimi tale evento. In particolare, con riferimento all’utilizzo dei dati di localizzazione, l’EDPB rimarca l’esigenza di relegare ad extrema ratio il trattamento di dati personali, dovendosi sempre preferire, ove possibile, l’utilizzo di dati anonimi.

Per quanto riguarda le App per le finalità di tracciamento dei contatti e di segnalazione, queste ultime dovrebbero essere installate volontariamente dagli utenti, nel segno di una responsabilità collettiva, e non dovrebbero basarsi sul tracciamento dei singoli movimenti, ma piuttosto sulle informazioni di prossimità relative agli utenti. Inoltre, dalla lettura di tali Linee Guida emerge che: (i) il titolare del trattamento (auspicabilmente rinvenibile nelle autorità sanitarie nazionali) dovrebbe essere chiaramente individuato; (ii) le finalità devono essere sufficientemente specifiche, tali da escludere ulteriori trattamenti per scopi estranei alla gestione della crisi sanitaria; (iii) deve essere valutata attentamente la base giuridica di riferimento; (iv) il trattamento dovrà essere limitato ai soli dati rilevanti ed effettuato soltanto qualora sia assolutamente necessario; (v) le ulteriori informazioni eventualmente raccolte dovrebbero comunque risiedere sul dispositivo dell’utente ed essere trattate solo con il suo previo consenso; e (vi) il periodo di conservazione dovrebbe coincidere con la durata della pandemia, dovendo procedere successivamente alla cancellazione o anonimizzazione dei dati, salvo reali esigenze di natura medica ed epidemiologica. Inoltre, dovranno essere implementati by design idonei sistemi di cifratura dei dati e sarà necessario altresì effettuare una DPIA, la quale dovrà essere poi resa pubblica.

In ogni caso, queste app non possono sostituire gli operatori sanitari, ma devono intendersi quale mero strumento di supporto, da integrarsi ad un novero eterogeneo di misure nell’ambito della salute pubblica.

L’Autorità garante olandese dà avvio a un indagine nel settore automotive

Il 24 marzo 2020, l’Autoriteit Persoonsgegevens, Autorità olandese sulla protezione dei dati personali (“AP”), ha annunciato l’avvio di un’ampia indagine relativa al settore dell’automotive, volta a determinare le modalità di trattamento dei dati personali effettuato dalle case automobilistiche.

L’indagine fa seguito alla pubblicazione da parte dell’European Data Protection Board (“EDPB”) del draft delle Linee guida 1/2020, risalenti al mese di febbraio, inerenti al trattamento dei dati personali nel contesto dei veicoli collegati e delle applicazioni relative alla mobilità, tramite le quali l’EDPB ha evidenziato l’esigenza di far luce sui trattamenti effettuati in tale settore: infatti, alla luce delle innovazioni tecnologiche introdotte negli ultimi anni, non è possibile escludere a priori la riconducibilità dei dati trattati sui database delle c.d. “smart cars” alla categoria dei dati personali, così come definiti ai sensi del Regolamento (UE) 2016/679 (“GDPR”).

Nel comunicato ufficiale pubblicato sul proprio sito web, l’Autorità ha dichiarato di aver ricevuto pochi reclami da parte degli interessati rispetto al trattamento effettuato sui propri dati personali da parte delle case automobilistiche. Tuttavia – aggiunge – è probabile che il silenzio degli utenti sia dettato una mancanza di consapevolezza della privacy nel settore in oggetto. In altri termini, può a ragione ritenersi che la spinta propulsiva dell’indagine debba rinvenirsi proprio nell’auspicio di portare maggiore chiarezza e consapevolezza in relazione ai trattamenti di dati effettuati nel mondo dell’automotive, in modo da poter avviare un dialogo con i rappresentanti del settore e, ove necessario, avviare azioni esecutive.

Alla luce di tali rilievi, l’AP olandese ha pertanto comunicato di aver inoltrato un questionario a tutti i produttori di veicoli con sede nei Paesi Bassi, chiedendo informazioni in merito (i) alle tipologie di dati personali trattati, (ii) ai tempi di conservazione degli stessi, (iii) alle misure di sicurezza adottate, nonché (iv) l’indicazione dei soggetti terzi a cui i dati vengono comunicati.

L’Autorità è consapevole del fatto che molti produttori hanno la propria sede o il proprio “stabilimento principale” nell’Unione Europea in paesi diversi dall’Olanda. Pertanto, in virtù del principio di cooperazione vigente in materia di protezione dei dati personali, i risultati delle indagini verranno condivisi con le autorità europee competenti, al fine di promuovere ulteriori azioni ispettive di follow-up, nonché per la comminazione delle sanzioni conseguenti all’eventuale riscontro di violazioni della disciplina privacy applicabile.

Didattica a distanza: pubblicate le prime indicazioni del Garante privacy

Con il provvedimento n. 64 del 26 marzo 2020, il Garante privacy è intervenuto per fornire alcune indicazioni relative all’utilizzo di strumenti tecnologici per i servizi dell’istruzione da remoto, nell’intento di promuovere la più ampia comprensione di quelle norme, garanzie e diritti che, anche nell’attuale contesto di emergenza, devono essere rispettati in relazione al trattamento dei dati personali degli interessati.

Nel provvedimento in oggetto, il Garante chiarisce anzitutto che scuole e università sono autorizzate a trattare i dati (anche relativi a categorie particolari) di docenti, alunni, studenti e genitori, tramite i servizi di didattica online, in quanto il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei e, pertanto, non è necessario richiedere un consenso specifico.

D’altro canto, proprio in quanto titolari del trattamento, spetta alle scuole e alle università l’attenta selezione e l’adeguata configurazione degli strumenti impiegati per la didattica online. Tali scelte dovranno conformarsi ai principi di privacy by design e by default del GDPR, tenendo conto del contesto didattico, delle finalità di insegnamento, nonché dei rischi connessi per i soggetti coinvolti, che possono essere anche minorenni.

Quanto al ruolo dei fornitori, il Garante sottolinea che, se il trattamento dei dati attraverso la piattaforma viene effettuato per conto della scuola o dell’università, allora sarà necessario sottoscrivere una nomina a responsabile del trattamento, esortando gli istituti ad accertarsi che i dati trattati per loro conto siano utilizzati esclusivamente per finalità di didattica online. A tal riguardo, rilevando l’Autorità che talune piattaforme offrono anche servizi ulteriori rispetto a quelli per meri fini didattici, sarà necessario configurare le stesse affichè venga rispettato il principio di minimizzazione, anche prevedendo un termine di cancellazione dei dati raccolti al temine del progetto didattico. Il Garante vigilerà sull’operato dei fornitori, ritenendo inammissibile l’operato di alcune piattaforme per la didattica a distanza che condizionano la fornitura dei servizi legati all’istruzione al rilascio del consenso – da parte dello studente o dei genitori – per l’effettuazione di operazioni ulteriori, preordinate al perseguimento di finalità proprie del fornitore.

Nel contesto in esame – procede il Garante – potrebbe altresì rendersi necessaria una valutazione d’impatto (“DPIA”). Tale analisi, tuttavia, non è richiesta per il trattamento effettuato da una singola scuola nell’ambito dell’utilizzo di un servizio online di videoconferenza o di una piattaforma, a condizione che non consenta il monitoraggio sistematico degli utenti o comunque non implichi l’utilizzo di soluzioni tecnologiche particolarmente invasive, come la geolocalizzazione o l’uso di dati biometrici.

In chiusura al provvedimento, l’Autorità chiarisce inoltre l’esigenza imprescindibile di rendere pienamente consapevoli docenti, studenti e genitori, mediante adeguata informativa, delle caratteristiche del trattamento e delle misure di salvaguardia nonché dei loro diritti in relazione al trattamento.

Emergenza COVID-19

Emergenza COVID-19 e comunicazioni elettroniche: la Commissione UE e il BEREC chiariscono i presupposti per l’adozione da parte degli operatori di misure eccezionali di traffic management

La Commissione UE e l’Organismo dei Regolatori Europei delle Comunicazioni Elettroniche (“BEREC”) hanno adottato una dichiarazione congiunta sulla gestione dell’aumento di domanda per la connettività di rete dovuta all’emergenza coronavirus COVID-19.

La Commissione UE e il BEREC hanno sottolineato l’importanza di continuare a garantire l’applicazione delle disposizioni del Regolamento (UE) 2015/2120 che impongono ai fornitori di servizi di accesso a internet di “trattare tutto il traffico allo stesso modo, senza discriminazioni, restrizioni o interferenze” (art. 3.3), ricordando che l’art. 3.3 del Regolamento 2015/2120 autorizza gli operatori ad applicare misure di gestione del traffico (traffic management), a condizione che si tratti di misure ragionevoli, ossia trasparenti, non discriminatorie, proporzionate e basate su giustificazioni tecniche obiettive.

Le due istituzioni riconoscono che la necessità di “prevenire un’imminente congestione della rete o mitigare gli effetti di una congestione della rete, eccezionale o temporanea” rientra tra i casi nei quali è ammesso, ai sensi dell’art. 3.3.c del Regolamento 2015/2120, il ricorso a misure eccezionali di traffic management che vadano oltre quelle sopra indicate, purché ragionevoli e non discriminatorie, e che una situazione di questo tipo può essere determinata dall’emergenza COVID-19.

La Commissione e il BEREC hanno tuttavia richiamato l’attenzione sulla circostanza che, trattandosi di un’eccezione ai principi espressi dal Regolamento 2015/2120, essa deve essere interpretata in maniera restrittiva.

A tal proposito, hanno elaborato delle considerazioni di cui gli operatori dovranno tenere conto per poter legittimamente applicare, in via eccezionale, misure di gestione del traffico volte a prevenire congestioni delle reti o mitigarne gli effetti:

  1. gli operatori dovranno valutare obiettivamente se i livelli di traffico sono molto elevati rispetto ad un periodo di riferimento simile e se, in assenza delle misure previste, gli utenti sarebbero penalizzati dalla congestione;
  2. la situazione di “congestione eccezionale” dovrebbe essere intesa come quella situazione in cui, malgrado l’applicazione dei più elevati standard di diligenza professionale nella gestione della rete, si verificano congestioni imprevedibili e inevitabili su reti mobili o fisse (e.g. a causa di frequenti guasti tecnici, di cambiamenti imprevisti nell’instradamento del traffico fuori dal controllo dell’operatore o di incrementi consistenti del traffico di rete dovuti all’attuale emergenza sanitaria nonché di altre situazioni emergenziali che esulano dal controllo dei fornitori di servizi di accesso a internet);
  3. nell’attuare misure eccezionali di gestione del traffico, gli operatori dovrebbero prendere in considerazione soluzioni proporzionate al problema riscontrato che garantiscano l’accesso a internet a tutti gli utenti e che allo stesso tempo siano efficaci nella gestione della congestione potenzialmente causata da picchi di traffico, siano limitate nel tempo allo stretto necessario e assicurino la parità di trattamento delle categorie di traffico equivalenti.

La Commissione e il BEREC, con il sostegno delle Autorità Nazionali di Regolamentazione o delle autorità competenti, hanno inoltre annunciato che istituiranno uno speciale meccanismo di monitoraggio e reportistica per garantire il controllo della situazione del traffico Internet in ogni Stato membro, al fine di poter reagire rapidamente ai problemi relativi alla capacità della rete.

Raccomandazioni su come gestire l’emergenza COVID-19 dell’Autorità europea degli strumenti finanziari e dei mercati

La European Securities and Markets Authority (“ESMA”) ha pubblicato alcune raccomandazioni operative riguardo all’emergenza coronavirus Covid-19 rivolte agli operatori dei mercati finanziari. In particolare, l’ESMA raccomanda ai consigli d’amministrazione delle società quotate nei listini europei di compiere alcuni interventi volti a garantire una maggiore trasparenza informativa durante l’attuale periodo di emergenza.

In primo luogo, agli operatori dei mercati finanziari viene suggerito di implementare appositi piani di emergenza (“business continuity planning”) per garantire la continuità operativa degli istituti quotati, in linea con i relativi obblighi normativi. In secondo luogo, l’Autorità europea raccomanda di fornire prontamente ai mercati tutte le informazioni rilevanti con riferimento all’impatto che la diffusione del coronavirus COVID-19 ha avuto rispetto agli strumenti finanziari e alla situazione economica degli istituti, come previsto dal Regolamento (UE) 596/2014 sugli abusi di mercato e le relative linee guida emanate dalle autorità di regolamentazione nazionali. Inoltre, agli operatori finanziari è richiesto di comunicare gli effetti reali e potenziali del coronavirus COVID-19 nell’ambito della relazione finanziaria annuale per il 2019 ovvero, se questa non è ancora stata finalizzata, nelle relazioni finanziarie infra-annuali. Tali informazioni devono essere comunicate tenendo in considerazione le prospettive economiche, la ripartizione dei dividenti e la situazione finanziaria delle società in generale, nel rispetto degli obblighi previsti dalla Direttiva (UE) 34/2013 sui bilanci d’esercizio e i bilanci consolidati.

In considerazione del fatto che, attualmente, gli Stati europei si trovano in fasi diverse della crisi pandemica e le misure adottate per mitigarne gli effetti possono differire da paese a paese, agli operatori finanziari è richiesto di valutare l’impatto del coronavirus COVID-19, da un lato, cercando di anticipare gli effetti della crisi, mentre, dall’altro, tenendo conto di come le autorità nazionali reagiranno alla diffusione del virus e le conseguenze sulle loro attività, situazione finanziaria e risultati economici.

L’Autorità privacy islandese sanziona una ONG per assenza di adeguate misure di sicurezza

L’autorità islandese per la protezione dei dati (Persónuvernd) ha inflitto una sanzione di ammontare pari a EUR20,643 al National Center of Addiction Medicine – ONG parte del servizio sanitario nazionale islandese, principale fornitore di servizi nell’ambito del trattamento delle dipendenze – determinata dalla mancata predisposizione di misure di sicurezza idonee a tutelare adeguatamente i dati personali dei propri pazienti.

La vicenda trae origine da una violazione dei dati personali che ha comportato l’accesso di un terzo non autorizzato ai nomi di circa 3.000 interessati, che avevano frequentato il centro di riabilitazione per abuso di alcol e sostanze stupefacenti, nonché ai dati contenuti nelle cartelle cliniche di 252 ex pazienti.

Informata del data breach, l’Autorità ha pertanto condotto un’indagine al fine di ricostruire l’accaduto, a seguito della quale ha ritenuto necessario procedere con l’emanazione di un provvedimento sanzionatorio nei confronti del Centro. La violazione, infatti, era il risultato della mancata attuazione da parte del titolare del trattamento di policies adeguate e di misure tecniche e organizzative appropriate per la protezione dei dati personali, rinvenendosi pertanto una violazione, tra l’altro, degli articoli 5(1)f e 32 del Regolamento UE 2016/679 (GDPR).

Nel determinare l’ammontare della sanzione, la Persónuvernd ha dovuto prendere atto (i) della particolare natura dei dati personali coinvolti nel data breach – rientranti nella categoria di dati relativi alla salute degli interessati – nonché (ii) del numero rilevante di soggetti coinvolti dalla violazione. D’altra parte, peraltro, l’Autorità ha altresì tenuto conto (i) della natura giuridica del Centro, operante nell’ambito dell’assistenza sanitaria senza scopo di lucro, e (ii) dell’impegno della ONG nell’implementazione di un sistema di trattamento dei dati personali più efficiente, mostrato già da prima che la violazione venisse alla luce.

Pubblicate dall’Autorità per la protezione dei dati greca le Linee Guida sull’uso di cookies e trackers

L’Autorità per la protezione dei dati greca (HDPA) ha pubblicato un vademecum su cookie e altre tecnologie di tracciamento, al fine di fornire ai titolari di siti web una guida pratica che, nell’ambito delle attività di trattamento di dati degli utenti, semplifichi operativamente le previsioni stabilite dalla normativa e-Privacy e dal GDPR, favorendo l’adeguamento alle normative applicabili.

Il tale contesto, l’HDPA chiarisce in primo luogo che l’utente deve essere adeguatamente informato sull’uso dei cookie e dei tracker impiegati sul sito. Al riguardo, viene valutata positivamente la possibilità di adottare un multi-layered approach, con l’utilizzo di finestre pop-up o banner, purché sia garantita in generale un’informazione chiara e completa all’utente, dovendosi specificare, tra le altre, l’identità dei responsabili del trattamento o delle categorie di destinatari cui i dati vengono trasmessi, nonché la durata del trattamento.

Inoltre, l’invio di cookie e tracker sui device usati dall’utente non tecnicamente necessari per la navigazione (e.g. i cookie analitici) deve essere indefettibilmente preceduto dall’espressione di un consenso da parte dell’interessato. A tal proposito, l’Autorità segnala che, affinché il consenso possa ritenersi lecito, è necessaria una chiara azione positiva dell’utente: saranno pertanto invalidi i consensi ottenuti tramite caselle pre-flaggate, dal proseguimento della navigazione o dallo scorrimento della pagina web. In tema di consenso, le Linee Guida stabiliscono altresì che: (i) il titolare deve garantire all’utente la possibilità di esprimere il proprio dissenso con lo stesso numero di “click” e con le stesse modalità con cui viene espresso il consenso; (ii) l’utente deve poter modificare le preferenze espresse in precedenza, sia di consenso che di diniego del consenso, tramite le stesse attività e gli stessi percorsi; (iii) non è consentita la pratica del c.d. “cookie wall”, in quanto in nessun caso il mancato consenso all’utilizzo dei cookie e delle altre tecnologie di tracciamento può essere utilizzato per limitare l’accesso ai contenuti del sito web; (iv) non devono essere presentate in modo graficamente diverso le opzioni “accetta” e “rifiuta”, al fine di evitare che l’utente possa essere in qualche modo influenzato nella scelta; infine (v) è fatto divieto al titolare di prevedere dei tempi di memorizzazione delle preferenze dell’utente differenti a seconda del conferimento o del mancato conferimento del consenso.

Va notato che quanto precede non costituisce un cambiamento nel quadro istituzionale esistente e negli orientamenti dell’Autorità. Tuttavia, l’esigenza di emanare le presenti Linee Guida nasce a seguito di un’ampia indagine condotta dall’HDPA, dalle cui risultanze è emerso un approccio generalmente non conforme alle norme applicabili da parte dei fornitori di servizi della società dell’informazione.