Ecco gli articoli più interessanti in tema privacy usciti durante il mese trascorso. Cliccate sull’indice per andare direttamente al contenuto.

Indice

  1. Un passo avanti nella sicurezza nazionale cibernetica
  2. Quanto sono solide le password impiegate dai dipendenti della vostra azienda?
  3. Una certificazione privacy per un prodotto IT
  4. Abbiamo anche la Giornata europea della protezione dei dati personali
  5. Il riconoscimento facciale implica un trattamento dei dati personali che richiede particolari attenzioni
  6. Contratti di outsourcing più complicati se coinvolgono trattamenti di dati personali
  7. Le nostre credenziali potrebbero essere state già violate
  8. I rapporti tra UE e USA rischiano di aggravarsi in materia di protezione dei dati personali
  9. Alcuni social potrebbero non essere in regola riguardo alla privacy dei minori
  10. Il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale, né richiederle al medico competente
  11. Le raccomandazioni delle linee guida relative al riconoscimento facciale

 

Un passo avanti nella sicurezza nazionale cibernetica

In un articolo dello scorso gennaio si riferiva che il DPCM del 21 ottobre 2021 aveva definito il “Perimetro di Sicurezza Nazionale Cibernetica”.  L’articolo Perimetro di sicurezza nazionale cibernetica: approvato il decreto attuativo dal Consiglio dei Ministri riporta che il Consiglio dei Ministri del 29 Gennaio 2021 ha approvato il decreto attuativo che rende operativo il Centro di valutazione e certificazione nazionale (CVCN) e gli altri centri di valutazione (CV) dei procedimenti di verifica e valutazione per beni, sistemi e servizi IT.

Il DPCM individua in dettaglio procedure, modalità e termini con cui i CVCN e CV valutano e certificano prodotti e servizi ICT, impiegati da organizzazioni nazionali strategiche nella fornitura di servizi pubblici, il cui malfunzionamento, interruzione, anche parziali, o utilizzo improprio potrebbe recare compromettere o ridurre la sicurezza nazionale.

I soggetti inclusi nel perimetro avranno a disposizione non più di un’ora per notificare allo CSIRT (Computer Security Incident Response Team) o al DIS (Dipartimento informazioni per la sicurezza) cyber incidenti gravi, mentre è previsto un margine di 6 ore al massimo per incidenti di minore gravità.

 

Quanto sono solide le password impiegate dai dipendenti della vostra azienda?

Considerando questa situazione di fatto, l’articolo L’80% delle aziende non ha imposto criteri per l’uso delle password dei propri dipendenti ricorda che le password “deboli” (facili da indovinare, per es. se si usa semplicemente il nome dell’azienda) contribuiscono a rendere poco sicuro il sistema informativo aziendale, la cui criticità è oggi incrementata dal lavoro in smart working, anche perché quasi la metà dei dipendenti che lavorano da remoto ammette una minor attenzione alla sicurezza dei dati.

E non dimentichiamoci di dare una scadenza alle password, affinché siano rinnovate con una certa frequenza [ndr].

 

Una certificazione privacy per un prodotto IT

Come riferisce l’articolo E’ di Crédit Agricole Italia la prima app bancaria a ricevere il marchio Privacy Ok, il marchio, patrocinato da FEDERPRIVACY, garantisce la conformità della applicazione di home banking dell’istituto bancario al Codice di condotta “Privacy e protezione dei dati personali nell’ambito di Internet e del commercio elettronico”. Il processo di valutazione, comunque, è stato effettuato dal TUV Italia.

Ndr: da quanto riporta l’articolo si deduce che sia il prodotto (la singola applicazione) ad essere certificato, non l’azienda nell’ambito complessivo dei trattamenti dei dati personali (anche se nel caso specifico la app coinvolge buona parte dei trattamenti dei dati personali e si interfaccia con altri trattamenti che in ogni caso, necessariamente, devono soddisfare i requisiti del GDPR, per non parlare di altre disposizioni vincolanti di sicurezza cui deve attenersi tutto il mondo bancario). Si sente peraltro la mancanza di vere e proprie normative (standard) di carattere quantomeno europeo (norme EU) che rendano uniformi le certificazioni anche nell’ambito specifico privacy, seppur suddivise e differenziate per categorie. Se saranno emesse, prevarranno sui vari codici di condotta e prassi di riferimento, pur auspicati dal GDPR, sorti sinora a mano di organismi privati e pubblici (prassi di riferimento, linee guida).

 

Abbiamo anche la Giornata europea della protezione dei dati personali

Il titolo dell’articolo Le imprese digitali devono riguadagnare la fiducia degli utenti si rifà ad uno precedente di cui abbiamo già parlato. La notizia è che il 28 gennaio è stata la Giornata europea della protezione dei dati personali istituita dal Consiglio d’Europa per sensibilizzare e promuovere l’importanza della privacy e della protezione dei dati.

 

Il riconoscimento facciale implica un trattamento dei dati personali che richiede particolari attenzioni

L’articolo Il riconoscimento facciale e gli aspetti più problematici in materia di protezione dati si occupa della materia in titolo in maniera abbastanza approfondita.

Il riconoscimento facciale è una tecnica di intelligenza artificiale che tratta dati di natura biometrica e, quindi, di categoria particolare di dati personali. Il software biometrico è in grado di identificare in modo univoco una persona analizzandone le caratteristiche distintive del volto e confrontandole con quelle di altre immagini già acquisite ed archiviate in un database. Infatti ogni individuo ha tratti facciali unici [questa affermazione peraltro non può avere valenza assoluta, ndt] e confrontabili.

Nè il nostro ordinamento legislativo, né il GDPR prevedono regole specifiche applicabili al riconoscimento facciale, tuttavia per non contravvenire allo stesso GDPR è necessario che siano rispettati i principi di liceità, necessità, proporzionalità e minimizzazione (Art. 5, 6 e 9); ciò che significa valutare l’impatto sui diritti e sulle libertà fondamentali degli individui e considerare anche la possibilità di utilizzare mezzi meno invasivi per raggiungere il loro legittimo scopo del trattamento.

Il Comitato Europeo per la Protezione dei dati personali (EDPB) fornisce un supporto per gestire correttamente la materia della videosorveglianza, avendo recentemente emesso le linee guida n. 3/2019.

Per un trattamento di dati biometrici (Art. 4, comma 14 del GDPR), si devono prendere in considerazione:

  • natura dei dati: dati relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica;
  • mezzi e modalità di elaborazione: dati “risultanti da un’elaborazione tecnica specifica”;
  • scopo del trattamento: i dati devono essere utilizzati per identificare in modo univoco una persona fisica.

La memorizzazione di dati biometrici con lo scopo di identificare una persona rientra nell’Art. 9 del GDPR, relativo al trattamento di dati di categoria particolare, che vieta il trattamento stesso salvo il verificarsi delle eccezioni previste. Ad es. una finalità può essere quella di rilevare un soggetto che entra in un’area per proiettare un annuncio pubblicitario personalizzato [in questo caso ricorre anche il contesto della profilazione, ndr].

I dati biometrici rilevati nel passaggio delle persone vengono confrontati con quelli archiviati in un database e quelli che vengono riconosciuti sono utilizzati per le finalità prefissate. E’ necessario, per i dati memorizzati nel database, che si verifichi uno dei casi di cui alle eccezioni dell’Art. 9, quale può essere in particolare il consenso informato ed esplicito degli interessati.

Un’altra raccomandazione delle linee guida dell’EDPB è che per l’autenticazione siano previste soluzioni alternative al trattamento biometrico, al fine di garantire comunque i diritti degli interessati [ad es. quando l’autenticazione è finalizzata a consentire un determinato accesso, ndr]. Infatti può accadere che non sia possibile la lettura dei dati biometrici, per inadeguatezza del soggetto o per temporanea indisponibilità del dispositivo biometrico.

Vengono raccomandate, infine, l’adozione e l’aggiornamento tecnologico di tutte le misure atte a preservare la disponibilità, l’integrità e la riservatezza dei dati trattati, quali

  • compartimentare i dati durante la trasmissione e la memorizzazione;
  • memorizzare i modelli biometrici e i dati grezzi o i dati di identità su database distinti;
  • cifrare i dati biometrici, in particolare i modelli biometrici, avendo definito una politica di cifratura e di gestione delle chiavi;
  • integrare una misura organizzativa e tecnica per l’individuazione delle frodi;
  • associare un codice di integrità ai dati (ad esempio firma o hash) e vietare qualsiasi accesso esterno ai dati biometrici.

Per confronto e informazione un ulteriore articolo sull’argomento, pubblicato da Federprivacy, è Videosorveglianza: la conservazione lunga delle immagini va giustificata.

 

Contratti di outsourcing più complicati se coinvolgono trattamenti di dati personali

L’articolo Dagli organismi europei le clausole standard per i contratti con i responsabili del trattamento esterni ricorda che, in base all’Art. 28, comma 3 del GDPR, l’affidamento in outsourcing, da parte di un’azienda (di qualsiasi tipo), di un trattamento di dati personali deve avvenire a fronte di un contratto firmato, o di un atto della stessa valenza. Il fornitore esterno è definito “responsabile esterno del trattamento”.

L’Autorità garante per la privacy indica, inoltre, che il contratto deve dimostrare che il responsabile fornisce sufficienti garanzie, in relazione alla natura, durata e finalità del trattamento, alle categorie di dati personali, alle misure tecniche e organizzative e più in generale al rispetto dei requisiti previsti dal GDPR.

EDPB (Comitato europeo per la protezione dei dati) ed EDPS (Supervisore europeo della protezione dei dati) hanno adottato un parere congiunto (n. 1/2021) e hanno stilato clausole standard per il contratto con il responsabile esterno del trattamento [vedasi anche Standard Contractual Clauses, già citate nell’articolo Clausole contrattuali tipo da usare per la nomina del Responsabile del trattamento del febbraio 2020, ndr]. Sono state emesse anche le linee guida EDPB n. 7/2020, dedicate ai concetti di titolare, contitolare e responsabile. L’autore peraltro afferma che sia gli schemi standard che le linee guida sono assolutamente inefficaci quanto a chiarezza.

In pratica vanno prima di tutto definiti i ruoli dei contraenti, cliente e fornitore: chi è titolare, responsabile esterno o contitolare [ad aumentare l’incertezza c’è l’articolo Quando e perché il cloud provider non può essere un responsabile del trattamento del gennaio scorso, secondo il quale un provider di servizi cloud sarebbe un contitolare; ndt].

Poi c’è la questione di come redigere il contratto. Le clausole tipo di EDPB / EDPS riportano vari allegati a seconda dell’aspetto da considerare. Si tratta di:

  • descrivere  il trattamento, le finalità, la durata, gli interessati e i tipi di dati;
  • specificare le misure tecniche e organizzative per la protezione dei dati: il fornitore deve avere idonei computer, dispositivi elettronici, reti e organizzazione;
  • specificare le modalità del trattamento dati, quanti e quali dati sono in gioco, quanto tempo devono essere conservati.

In ogni caso il contratto deve focalizzare il rispetto della privacy.

 

Le nostre credenziali potrebbero essere state già violate

L’articolo Gigantesco archivio di oltre 3 miliardi di credenziali in vendita sul web ci informa che unificando i dati provenienti da 252 precedenti data breach, è stato costituito e messo sul mercato del dark web, a disposizione dei cyber criminali, il database “Compilation of Many Breaches (COMB)”. Questo contiene così 3,2 miliardi di credenziali composte da username e password.

[Non sarebbe da meravigliarsi si ci fossero anche le nostre credenziali personali, magari quelle più deboli utilizzate per account speriamo poco importanti. Confidiamo nel fatto che, nel caso, si tratti ormai di password superate, se ci siamo attenuti ai seguenti suggerimenti dell’autore; ndt].

Vengono date le solite raccomandazioni per la sicurezza del proprio account: cambiare password periodicamente, e valutare se rafforzare le proprie misure adottando, per es., un sistema di autenticazione a due fattori.

 

I rapporti tra UE e USA rischiano di aggravarsi in materia di protezione dei dati personali

A quanto riferito nell’articolo L’ordine esecutivo 13984: ennesimo distanziamento tra Usa e Ue sulla questione privacy?, l’ordine, promulgato da Tramp l’ultimo giorno della sua presidenza e relativo alla “Applicazione di misure aggiuntive per la gestione dell’emergenza nazionale riguardante le significative attività cibernetiche ostili”, produrrà probabilmente ulteriori ostacoli rispetto ad una eventuale decisione di adeguatezza degli Stati Uniti da parte dell’Unione Europea, decisione già ostacolata dalla sentenza Schrems dello scorso luglio (invalidazione del Privacy Shield).

A tale ordine dovranno seguire specifiche regolamentazioni da parte dei vari Ministeri statunitensi. Esso, con l’obiettivo di contrastare le minacce cibernetiche nei confronti degli USA, prevede che i fornitori privati di servizi di “Infrastructure as a Service” (affitto in cloud di server, potenza di calcolo e capacità di memoria) debbano raccogliere e comunicare, su richiesta, alle agenzie americane di intelligence i dati anagrafici, i dati di contatto e di utilizzo del servizio dei loro clienti stranieri. Il governo statunitense potrà quindi indicare a questi fornitori le persone, società e stati che non dovranno più accedere ai loro servizi o che debbano essere in qualche modo sorvegliati.

Tutto ciò appare come una ingerenza nei diritti fondamentali e nelle libertà degli individui, nella fattispecie della protezione dei dati personali, sanciti dalla UE attraverso i regolamenti della Commissione Europea per la privacy e le sentenze della Corte Europea; in particolare riguardo al fatto che un trattamento di dati personali deve essere basato su regole chiare e accessibili, proporzionato nel rapporto tra finalità i diritti degli interessati, controllabile da un organismo indipendente e opponibile tramite efficaci mezzi di ricorso.

[Il diritto di uno stato di proteggersi da minacce informatiche che possono avere effetti disastrosi dovrebbe potersi esercitare attraverso regole che comunque impediscano decisioni e azioni arbitrarie e soggettive che oltrepassino i legittimi scopi. Tanto dipenderà dalle regolamentazioni attuative, con l’ulteriore dubbio circa il fatto che queste possano anche differire tra i diversi stati dell’unione. Ndr]

 

Alcuni social potrebbero non essere in regola riguardo alla privacy dei minori

L’articolo Garante per l’infanzia: un minore può dare il suo consenso per iscriversi a un social se ha compiuto 14 anni, che ha per oggetto le condizioni di legittimità dell’accesso a Internet dei bambini, asserisce che il GDPR genera, sull’argomento, confusione e incertezze. Infatti, da un lato, per l’Art. 8 il consenso al trattamento deve essere dato da un soggetto di almeno 16 anni, dall’altro, lascia a ciascun stato membro della UE la possibilità di abbassare sino a 13 tale limite (che in Italia è stato fissato in anni 14). Inoltre, il GDPR prevede che, in presenza di un contratto, il consenso non sia necessario. Tuttavia in Italia l’età minima per sottoscrivere un contratto è di 18 anni.

Quindi se una app per frequentare un social network indica che per dare il consenso occorrono 13 anni questa è illegittima, almeno in Italia, e, se poi basa il consenso su un presunto valore contrattuale dell’adesione, lo è ancora di più perché per sottoscrivere un contratto è necessario il compimento del 18° anno. Questo è stato ribadito in una dichiarazione anche dal Garante per l’infanzia e l’adolescenza, Carla Garlatti: prima dei 14 anni è indispensabile l’assenso dei genitori.

Il quattordicenne che esprime il proprio consenso deve poterlo fare nella consapevolezza dell’utilizzo che sarà fatto dei suoi dati personali, inclusi quelli che riguardano il proprio comportamento e le proprie scelte in rete, ed è quindi necessario che l’informativa fornita sia adeguata alla sua età. Inoltre la finalità di marketing non dovrebbe, generalmente, essere inclusa nei consensi acquisibili da un minore (di 18 anni) e un’eventuale profilazione dovrebbe essere ammessa esclusivamente per scopo di tutela e sicurezza.

 

Il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale, né richiederle al medico competente

Il Garante per la privacy ha pubblicato le Faq sul Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo.

L’articolo Vaccinazione anti Covid-19 dei dipendenti: le Faq del Garante per la Privacy riporta in sintesi che né la disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro, né le disposizioni sull’emergenza sanitaria consentono al datore di lavoro di acquisire i nominativi del personale vaccinato o tantomeno la copia delle certificazioni vaccinali, neppure a fronte del consenso del dipendente o tramite il medico competente. Può invece acquisire i giudizi di idoneità alla mansione specifica redatti dal medico competente.

Poiché si applicano comunque le disposizioni vigenti sulle “misure speciali di protezione” previste nei casi di esposizione diretta ad “agenti biologici” in ambito lavorativo (art. 279 del d.lgs. n. 81/2008), il medico competente -e solo lui-, nella sua funzione di raccordo tra il sistema sanitario e l’azienda, può trattare i dati personali relativi alla vaccinazione dei dipendenti. Il datore di lavoro deve quindi limitarsi attuare, dal punto di vista dell’organizzazione del lavoro, le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità dei dipendenti.

L’articolo ricorda infine che l’eventuale imposizione della vaccinazione anti Covid, per lo svolgimento di determinate professioni, attività lavorative e mansioni, dovrà essere subordinata ad un intervento del legislatore.

Gli stessi concetti sono espressi nell’articolo Vaccini, il delicato equilibrio tra sanità pubblica e individuo, che difende tra l’altro le dichiarazione del Garante sull’argomento, in quanto tese al rispetto delle competenze e procedure legislative sulla protezione dei dati personali e non di ostacolo all’azione di prevenzione sanitaria.

 

Le raccomandazioni delle linee guida relative al riconoscimento facciale

L’articolo Dal Consiglio d’Europa le linee guida sul riconoscimento facciale riprende l’argomento di cui a Il riconoscimento facciale e gli aspetti più problematici in materia di protezione dati e riporta, in breve, le misure che, secondo le linee guida del Comitato europeo, dovrebbero essere adottate per garantire che l’impiego delle tecnologie di riconoscimento facciale non pregiudichi la dignità, i diritti umani e le libertà fondamentali della persona .

Le cosiddette tecnologie di “riconoscimento dell’affetto”, in grado di rilevare i tratti della personalità, i sentimenti o le reazioni emotive dall’immagine del volto, dovrebbero essere vietate, poiché utilizzabili per determinare il colore della pelle e finanche i tratti della personalità, i sentimenti o le reazioni emotive degli interessati, con finalità quali l’assunzione di personale, l’accesso a servizi assicurativi o a all’istruzione.

Agli sviluppatori viene raccomandata specifica attenzione agli algoritmi e all’accuratezza dei dati trattati, al fine di evitare disparità e possibili discriminazioni [indipendentemente dal consenso esplicito degli interessati, ndt].

Le aziende devono garantire la protezione dati, a partire dalla valutazione dei rischi sui diritti degli individui e dovrebbero analizzare anche l’etica dei trattamenti, con il supporto di comitati di esperti indipendenti. Devono inoltre ricorrere alla consultazione delle Autorità prima di utilizzare o anche solo sperimentare tecnologie di riconoscimento facciale.

Gli interessati devono poter esercitare i propri diritti, inclusi quello di rettifica (in relazione per esempio a false corrispondenze) e quello di fornire e far valere la propria opinione di fronte a decisioni automatizzate.