Mese: Ottobre 2024

Sicurezza dei prodotti: quando un prodotto è sicuro?

Posted on by Lorenzo Princivalle

Quando un prodotto è sicuro?

Vi proponiamo il nostro secondo articolo in merito alle norme in tema di sicurezza dei prodotti che entreranno in vigore dal 13 dicembre 2024 cercando di rispondere in breve alla domanda: quando un prodotto è sicuro?

Abbiamo già visto nel precedente articolo che tutti i prodotti messi a disposizione o immessi sul mercato unico devono essere “sicuri” (art. 5 del Regolamento (UE) 2023/988 del Parlamento europeo e del Consiglio, del 10 maggio 2023, relativo alla sicurezza generale dei prodotti, “Regolamento 2023/988”).

Ma come si valuta se un prodotto è sicuro?

La risposta è fornita in larga misura dall’art. 6 del Regolamento 2023/988.

Ebbene, ecco gli aspetti da tenere in considerazione nel valutare se un prodotto è sicuro:

  1. le caratteristiche del prodotto, tra cui la sua progettazione, le sue caratteristiche tecniche, la sua composizione, il suo imballaggio, le sue istruzioni per l’assemblaggio e, se del caso, per l’installazione, per l’uso e per la manutenzione;
  2. l’effetto del prodotto su altri prodotti, qualora sia ragionevolmente prevedibile che il prodotto sarà utilizzato con altri prodotti, compresa l’interconnessione di tali prodotti;
  3. l’effetto che altri prodotti potrebbero avere sul prodotto da valutare, qualora sia ragionevolmente prevedibile l’utilizzo di altri prodotti con tale prodotto, compreso l’effetto di elementi non integrati destinati a determinare, modificare o completare il funzionamento del prodotto da valutare, di cui si deve tener conto nella valutazione della sicurezza del prodotto da valutare;
  4. la presentazione del prodotto, la sua etichettatura, compresa l’etichettatura relativa all’età di idoneità per i bambini, le eventuali avvertenze e istruzioni per l’uso e lo smaltimento sicuri nonché qualsiasi altra indicazione o informazione relativa al prodotto;
  5. le categorie di consumatori che utilizzano il prodotto, in particolare valutando i rischi per i consumatori vulnerabili come i bambini, gli anziani e le persone con disabilità, nonché l’impatto delle differenze di genere sulla salute e la sicurezza;
  6. l’aspetto del prodotto quando può indurre i consumatori a utilizzarlo in modo diverso da quello per cui è stato progettato, in particolare:
    • se un prodotto, pur non essendo un prodotto alimentare, vi assomiglia e può essere confuso con un prodotto alimentare per la sua forma, odore, colore, aspetto, imballaggio, etichettatura, volume, dimensioni o altre caratteristiche, e i consumatori, in particolare i bambini, potrebbero pertanto portarli alla bocca, succhiarli o ingerirli;
    • se un prodotto, pur non progettato per essere utilizzato da bambini, né destinato a esserlo, può essere utilizzato dai bambini o assomiglia per la sua progettazione, il suo imballaggio o le sue caratteristiche a un oggetto comunemente riconosciuto come attraente per i bambini o destinato a un utilizzo da parte di questi;
  7. laddove lo imponga la natura del prodotto, le adeguate caratteristiche di cibersicurezza necessarie per proteggere il prodotto da influenze esterne, compresi terzi malintenzionati, se tale influenza potrebbe avere un impatto sulla sicurezza del prodotto, compresa la possibile perdita di interconnessione;
  8. se richiesto dalla natura del prodotto, le funzionalità evolutive, di apprendimento e predittive del prodotto.

Il sopra richiamato articolo 6 chiarisce che la possibilità di raggiungere un livello di sicurezza superiore o di procurarsi altri prodotti che presentano un rischio minore non costituisce un motivo sufficiente per considerare un prodotto come pericoloso.

Cosa significa “presunzione di sicurezza” in riferimento a un prodotto?

Quando un prodotto si presume sicuro?

L’art. 7 del Regolamento 2023/988  afferma che un prodotto si presume conforme all’obbligo generale di sicurezza previsto dall’articolo 5 nei casi seguenti:

  1. è conforme alle norme europee pertinenti o a parti di esse per quanto riguarda i rischi e le categorie di rischio contemplati da tali norme i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell’Unione europea conformemente all’articolo 10, paragrafo 7, del regolamento (UE) n. 1025/2012; o
  2. in assenza di norme europee pertinenti di cui alla lettera a), è conforme ai requisiti nazionali, per quanto riguarda i rischi e le categorie di rischio contemplati dai requisiti in materia di salute e sicurezza stabiliti dalla normativa nazionale dello Stato membro in cui è messo a disposizione sul mercato, purché tale normativa sia conforme al diritto dell’Unione.

Infine, l’articolo 8 del Regolamento 2023/988 precisa, a chiusura, gli ulteriori aspetti da tenere in considerazione per la valutazione della sicurezza del prodotto ai fini dell’articolo 6 e quando non si applica la presunzione di sicurezza di cui all’articolo 7:

  1. le norme europee diverse da quelle i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell’Unione europea in conformità dell’articolo 10, paragrafo 7, del regolamento (UE) n. 1025/2012;
  2. le norme internazionali;
  3. gli accordi internazionali;
  4. i sistemi di certificazione volontaria o simili quadri di valutazione della conformità di terze parti, in particolare quelli concepiti per sostenere il diritto dell’Unione;
  5. le raccomandazioni o gli orientamenti della Commissione sulla valutazione della sicurezza dei prodotti;
  6. le norme nazionali elaborate nello Stato membro in cui il prodotto è messo a disposizione;
  7. lo stato dell’arte e la tecnologia, compreso il parere di organismi scientifici riconosciuti e comitati di esperti;
  8. codici di buona condotta in materia di sicurezza dei prodotti vigenti nel settore interessato;
  9. la sicurezza che i consumatori possono ragionevolmente attendersi;
  10. i requisiti di sicurezza adottati mediante atti di esecuzione della Commissione Europea che determinano i requisiti specifici di sicurezza che devono essere disciplinati dalle norme europee al fine di garantire che i prodotti conformi a tali norme europee soddisfino l’obbligo generale di sicurezza previsto Regolamento.

Anche in questo caso quanto precede costituisce volutamente una sintesi dei tanti aspetti che occorre tenere in considerazione nel momento in cui si intenda stabilire se un prodotto è sicuro, materia in cui un errore può costare un prezzo molto alto.

Google Enhanced Conversions e data protection: un equilibrio complesso

Posted on by Camilla Schiocchet

L’introduzione delle Google Enhanced Conversions ha segnato un significativo passo in avanti per le aziende che utilizzano Google Ads e Google Analytics, permettendo loro di ottenere misurazioni sempre più accurate delle conversioni pubblicitarie. Tuttavia, in un panorama sempre più regolamentato dalle leggi in materia di data protection, l’implementazione di tecnologie come le Enhanced Conversions solleva importanti interrogativi in materia di privacy e sicurezza dei dati personali.

(Lo Studio Princivalle Apruzzi Danielli aveva di recente analizzato tematiche analoghe in un altro interessante contributo relativo invece alla implementazione della versione 2 del Google Consent Mode).

Le Google Enhanced Conversions (GEC)

Le Google Enhanced Conversions (GEC) sono una funzione di tracciamento offerta da Google Ads che consente di migliorare la misurazione delle conversioni. In altre parole, si tratta delle azioni compiute dagli utenti dopo aver interagito con un annuncio, come un acquisto o la compilazione di un modulo.

Questa funzionalità viene utilizzata per migliorare la precisione dei dati di conversione, quando i cookie non sono sufficienti per tracciare l’attività degli utenti a causa di restrizioni relative alle preferenze della privacy o del blocco dei cookie di terze parti.

La raccolta dei dati da parte delle aziende e la misurazione della loro conversione da parte di Google avviene nel rispetto dei seguenti passaggi:

  • Le GEC consentono alle aziende di inviare dati di prima parte, come e-mail o numero di telefono degli utenti, raccolti durante il processo di conversione (ad es. un acquisto o una registrazione);
  • i dati personali dell’utente vengono convertiti in formato hash mediante algoritmi sicuri come SHA-256 prima di essere inviati a Google. Il sistema di hashing garantisce che i dati siano criptati e anonimizzati e che non possano essere riconvertiti facilmente al loro formato originale;
  • Google utilizza i dati cosiddetti dati “hashati” ricevuti e li abbina ai profili Google già esistenti, migliorando così l’attribuzione delle conversioni anche in assenza di cookie di terze parti.

Questo sistema risponde all’esigenza di ottenere un tracciamento più accurato delle conversioni in un contesto in cui le restrizioni sui cookie di terze parti stanno aumentando. Grazie all’uso di dati di prima parte hashati, le aziende  possono infatti migliorare la misurazione delle prestazioni delle campagne pubblicitarie senza compromettere la privacy degli utenti.

Le GEC e la protezione dei dati personali

Le Enhanced Convertions rappresentano una sfida delicata quando si parla di data protection degli utenti.

Con riferimento al sistema di hashing, si tratta di quel processo che garantisce di criptare le informazioni personali prima di essere trasmettesse. Questo è un passo importante per garantire che i dati non siano facilmente accessibili da terzi. Anche se il processo di hashing è una misura di sicurezza fondamentale, resta il dubbio se Google, in qualità di responsabile del trattamento, possa utilizzare queste informazioni per altri scopi.

Un altro tema rilevante è rappresentato dal ruolo di titolare o responsabile del trattamento che riveste Google nell’ambito delle GEC. In linea generale, poiché Google agisce su istruzioni delle aziende tratta i dati esclusivamente per loro conto ai sensi dell’art. 28 GDPR. In questo caso vengono trattati solo i dati strettamente necessari per il tracciamento delle conversioni, riducendo al minimo le informazioni personali (nel rispetto del principio di minimizzazione dei dati ex art. 5 GDPR).

Tuttavia, se utilizza i dati degli utenti per personalizzare gli annunci pubblicitari o per migliorare i propri servizi, Google potrebbe assumere anche il ruolo di titolare autonomo del trattamento, con ciò determinando non poche conseguenze lato privacy user.

Come sappiamo, il GDPR impone standard rigorosi sulla raccolta e l’elaborazione dei dati personali, inclusa la necessità di ottenere il consenso informato da parte degli utenti.

Le aziende devono quindi garantire che i dati raccolti siano trattati in conformità alla legge. In questo modo gli utenti saranno adeguatamente informati sull’uso dei loro dati personali  e potranno dare il proprio consenso in modo esplicito. Le aziende dovrebbero spiegare, nelle proprie privacy policy, come vengono raccolti, elaborati e condivisi i dati con le terze parti garantendo così la massima trasparenza.

Le GEC e la loro implementazione in azienda

Le aziende devono seguire una serie di passaggi per configurare correttamente il tracciamento avanzato delle conversioni sui loro siti web. Questo processo coinvolge sia l’impostazione tecnica che la gestione dei dati, per garantire che le Enhanced Conversions funzionino correttamente. Inoltre, affinché l’attivazione delle Enhanced Conversions sia conforme alla normativa in materia di data protection, le aziende devono adottare una serie di accorgimenti:

  • ottenere il consenso esplicito degli utenti per il trattamento dei dati personali
  • configurare l’hashing dei dati di prima parte in modo corretto e sicuro
  • implementare meccanismi di opt-out chiari per consentire agli utenti di esercitare i loro diritti
  • garantire la trasparenza nelle politiche sulla privacy. Le aziende devono spiegare in modo chiaro agli utenti come vengono utilizzati i loro dati e come funzionano le GEC.

Considerazioni finali

Le Google Enhanced Conversions rappresentano un’opportunità significativa per le aziende che desiderano migliorare l’efficacia delle loro campagne pubblicitarie. E’ fondamentale che queste tecnologie vengano utilizzate in modo responsabile e conforme alle normative sulla protezione dei dati personali. Le aziende devono assicurarsi di adottare misure adeguate per proteggere i dati personali degli utenti. L’obbiettivo deve essere quello di garantire che i processi di tracciamento delle conversioni rispettino gli standard legali e le aspettative degli utenti lato privacy. Queste misure consentono di bilanciare la necessità di ottenere insight commerciali con la responsabilità di proteggere i diritti degli utenti.

Adeguamento al Decreto Legislativo 138/2024 e Recepimento della Direttiva NIS2: la nostra TIMELINE per le aziende interessate

Posted on by Valentina Apruzzi

Il Decreto Legislativo 138 del 2024, che recepisce la Direttiva NIS2 (Direttiva UE 2022/2555), introduce nuove regole per migliorare la sicurezza informatica delle aziende e delle Pubbliche Amministrazioni (PA) essenziali o importanti per l’economia e la società. Il nostro studio è pronto per guidarvi nel processo di adeguamento e fornire chiarimenti sulla timeline NIS2 stabilita per conformarsi.

Tempistiche Chiave

Ecco le principali scadenze che le aziende e le PA devono tenere a mente per evitare sanzioni e garantire la conformità.

1. Valutazione preliminare: Entro il 31 dicembre 2024
Le aziende e le Pubbliche Amministrazioni devono valutare se rientrano tra i destinatari della normativa NIS2. Questa fase iniziale è essenziale per determinare se la vostra organizzazione è classificata come “essenziale” o “importante” ai sensi della legge.

2. Registrazione obbligatoria: Dal 1 gennaio 2025 al 28 febbraio 2025
Le aziende identificate come destinatari devono registrarsi sulla piattaforma digitale predisposta dall’Autorità per la Cybersicurezza Nazionale (ACN). Entro il 17 gennaio 2025, soggetti come fornitori di servizi cloud, data center, mercati online e social network, sono obbligati a completare questa registrazione.

3. Redazione elenco ACN: Entro il 31 marzo 2025
L’ACN redigerà un elenco ufficiale di tutti i soggetti considerati essenziali o importanti. Questo documento sarà fondamentale per identificare coloro che devono rispettare le misure di sicurezza rafforzate previste dalla normativa.

4. Comunicazione dell’ACN: Tra il 1 aprile e il 15 aprile 2025
I soggetti inseriti nell’elenco riceveranno una comunicazione ufficiale dall’ACN. A partire da questo momento, sarà necessario prendere provvedimenti per garantire il rispetto delle nuove norme.

5. Nomina del responsabile NIS2: Entro il 15 aprile 2025
Le aziende o le PA incluse nell’elenco dell’ACN devono nominare un Responsabile per la conformità alle regole della NIS2. Questa figura sarà incaricata di gestire la sicurezza informatica e di comunicare eventuali violazioni o incidenti all’ACN.

6. Obbligo di comunicazione degli incidenti: Dal 1 gennaio 2026
Dal 2026, diventerà obbligatorio per le aziende segnalare qualsiasi incidente informatico all’ACN, garantendo una risposta tempestiva alle minacce alla sicurezza.

Questa timeline è fondamentale per evitare ritardi o non conformità. Il nostro team di esperti vi accompagnerà in ogni fase del processo di adeguamento, assicurandovi di soddisfare tutti i requisiti legali e operativi.

Soggetti coinvolti

Per la valutazione di cui al punto 1 è indispensabile conoscere la classificazione dei soggetti coinvolti. Le aziende interessate dalla NIS 2 e dal relativo Decreto Legislativo 138/2024 si dividono in diverse categorie e settori ritenuti critici o altamente critici per la sicurezza nazionale e la stabilità economica. Il decreto si applica sia ai soggetti privati che pubblici, come indicato negli Allegati I, II, III e IV del decreto.

Scarica qui la Timeline di adeguamento NIS2 PDF