GESTIONE DEI RISCHI E MISURE DI CONTRASTO
Compliance privacy: i vantaggi della nomina del Data Protection Officer tra obbligo e opportunità
L’articolo Compliance privacy: i vantaggi della nomina del Data Protection Officer tra obbligo e opportunità sottolinea la necessità che la gestione degli adempimenti relativi alla privacy sia continuamente adeguata alle novità normative ed alle variazioni organizzative interne sopravvenute. In caso contrario ci si espone al rischio di sanzioni, che possono anche essere pesanti.
[Salvo rare eccezioni] il trattamento dei dati personali non rappresenta il core business aziendale e può essere visto, dalle varie funzioni, come un intralcio al normale svolgimento delle attività. E’ la Direzione che deve sensibilizzare per far emergere situazioni con impatto sulla privacy, affinché siano tempestivamente e correttamente gestite.
In base al GDPR, il titolare del trattamento e il responsabile sono tenuti a nominare il Responsabile della Protezione dei Dati (RPD, o DPO) nei casi di ente pubblico, di attività che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, ovvero comportano il trattamento su larga scala di categorie particolari di dati o di dati relativi a condanne penali o reati. Tuttavia il ruolo del DPO è comunque idoneo a garantire il corretto trattamento dei dati personali degli interessati e, quindi, anche in assenza di obbligatorietà, può essere opportuno nominare tale figura.
Il DPO può essere un soggetto interno o esterno all’azienda indifferentemente, purché sia individuato in funzione delle sue qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e delle capacità di assolvere ai compiti indicati all’art. 39. Al DPO devono essere comunque garantite autonomia e indipendenza e deve essere evitata qualsiasi incompatibilità con altri ruoli rivestiti.
Oltre ai doveri verso l’azienda, il DPO ha poi obblighi specifici rispetto all’Autorità di controllo, essendo tenuto al collaborare in caso di richieste di informazioni o ispezioni e costituire un punto di contatto.
Anche l’attività del DPO, che comporta, tra l’altro, la formazione e sensibilizzazione dei dipendenti, dovrà seguire il ciclo PDCA (Plan, Do, Check, Act, o ciclo di Deming) e dimostrare la continuità dell’azione anche con verbali di riunioni, ad esempio trimestrali. Spetta agli enti aziendali di informare e coinvolgere il DPO nelle problematiche privacy che possono scaturire.
L’autore dell’articolo conclude osservando che la nomina del DPO rappresenta un ottimo investimento, per la continuità di supporto tecnico giuridico e del controllo interno sull’effettività della compliance e delle misure di sicurezza adottate, ciò che aiuta a prevenire sanzioni e di richieste di risarcimento danni da parte di terzi, nonché evitare gli effetti di immagine negativi la pubblicazione di sanzioni subite. Viceversa, la presenza del DPO dimostra l’attenzione alla privacy e l’affidabilità dell’azienda, aspetti sempre più presi in considerazione dai potenziali clienti e talvolta fondamentali per la partecipazione a gare di appalto.
La riservatezza dei dati potrebbe non essere al sicuro consegnando il computer all’esterno per un intervento
A fronte dell’affermazione contenuta nel titolo dell’articolo “Privacy a rischio anche per una semplice riparazione del computer: il 37.5% dei tecnici dell’assistenza curiosano nei dispositivi dei clienti”, è consigliabile intraprendere alcune misure alternative, o in alcuni casi concomitanti, a protezione dei dati riservati (dati aziendali e/o dati personali sensibili) prima di consegnare il proprio computer, personale o in dotazione, al servizio di assistenza di un negozio o di un produttore.
- Verificare in rete opinioni e recensioni del negozio locale per verificarne la reputazione.
- Se è possibile ancora accedere ai dati e utilizzare il computer prima di portarlo a riparare fare un backup dei dati e rimuovere i file più critici.
- Rimuovere tutti i dispositivi di archiviazione esterna.
- Utilizzare un software di crittografia per proteggere i file.
- Nei casi più estremi, utilizzare un software di cancellazione sicura per eliminare tutti i dati personali dal computer (dopo aver fatto il backup) e le tracce delle ultime attività online.
ISO 27001: i controls relativi alle persone
L’articolo I controlli della Norma ISO/IEC 27001:2022 sugli autorizzati al trattamento tra ‘Non Disclosure Agreement’ e remote working analizza alcuni controlli [misure preventive, di indagine o correttive] richiesti nella sezione 6 “People controls” della norma ISO/IEC 27001:2022. Nel caso in cui le informazioni siano dati personali, questi controlli vengono a costituire una misura di accountability per il GDPR, pur non essendo vincolante la 27001.
6.6 Confidentiality or non-disclosure agreements
Questo controllo riguarda la protezione della confidenzialità dei dati. Per soddisfare questo controllo, deve essere realizzato quanto segue:
- individuazione delle informazioni da proteggere e la proprietà delle stesse,
- durata dell’accordo e arco temporale in cui l’autorizzato si impegna a mantenere riservate le informazioni,
- possibilità di effettuare attività di audit,
- sistemi di notifica in caso di incidente o potenziale incidente,
- azioni da mettere in atto sulle informazioni al termine del loro trattamento (distruzione, restituzione, ecc.).
6.7 Remote working
Questo controllo riguarda la protezione delle informazioni trattate all’esterno dei locali dell’azienda. Le misure da intraprendere, ove pertinenti, sono:
- considerare i vincoli posti dalla legislazione,
- includere le informazioni fisiche (disponibilità di attrezzature) e quelle tecniche (configurazioni, sistemi di protezione, autenticazione, ecc.),
- considerare tra le possibili minacce anche soggetti non autorizzati ad accedere alle informazioni come familiari ed amici,
- considerare i rischi derivanti dalla proprietà privata del lavoratore non sotto controllo dell’organizzazione,
- prevedere a quali informazioni avrà accesso il lavoratore sulla base del sistema di classificazione delle stesse (controllo 5.12),
- considerare una formazione mirata per i lavoratori,
- prevedere disposizioni in merito alle assicurazioni,
- stabilire sistemi di revoca dei permessi accordati, una volta che il lavoro a distanza è terminato.
6.8 Information security event reporting
Questo controllo implica che l’azienda comunichi e renda disponibile al proprio personale una modalità per la segnalazione tempestiva di eventi che possono compromettere la sicurezza delle informazioni ed implica la consapevolezza e la formazione del personale stesso. Le minacce possono scaturire da inefficacia di sistemi di controllo, violazioni di informazioni sui parametri RID [Riservatezza, Integrità e Disponibilità], errori umani, violazioni fisiche, cambiamenti che possono minare la sicurezza, malfunzionamenti/anomalie dei sistemi, sospetti malware.
I precedenti controlli, da 6.1 a 6.5, sulla sicurezza delle informazioni riguardano invece il ciclo di vita di un collaboratore (dipendente o meno) all’interno di un’organizzazione.
LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE
Vanno prese precauzioni per l’utilizzo di certi metodi per la valutazione dell’età
Premesso che i sistemi più diffusi impiegati per il controllo dell’età consistono in
- convalida della carta di credito,
- analisi biometrica del viso,
- verifica offline,
- analisi dei documenti di identità,
- collegamento a ID provider pubblici,
- verifica inferenziale,
- segnalazione da parte degli altri utenti,
secondo l’articolo Il ruolo del Data Protection Officer nei sistemi di age verification, alcuni di questi, come l’analisi biometrica, impattano direttamente sui dati personali di categoria particolare; d’altra parte possono essere indispensabili proprio per la salvaguardia dei diritti dei minori. E’ necessario dunque che sia ben valutato il bilanciamento tra l’invasività del mezzo (che di per sé non sarebbe consentito senza preventivo consenso), anche se utilizzato solo in fase di accesso a una registrazione per un servizio, e la stessa tutela dei soggetti vulnerabili (nonché la dimostrazione che il titolare ha assolto ai propri obblighi in merito). Le stesse autorità europee garanti della privacy, da un lato promuovono l’utilizzo dell’age verification, dall’altro invitano alla prudenza.
L’articolo conclude che, poiché ogni caso è a sé stante, è opportuno che il DPO rediga una specifica valutazione di impatto.
L’articolo Windows 11 è uno spyware? come correre ai ripari e proteggere la privacy sul proprio computer afferma che, secondo un canale YouTube di sicurezza del PC, Windows 11 trasmetterebbe a server esterni numerosi dati dei computer degli ignari utenti, contattando diversi servizi online forniti da Microsoft (MSN, Bing, Windows Update e altri) ma anche terze parti, come Steam, McAfee e il sito Scorecard Research di Comscore, che compie ricerche di mercato al fine di compilare “studi e rapporti sulle tendenze e i comportamenti in Internet”.
Sebbene possa essere lecito effettuare raccolte dati per risolvere problemi e migliorare i prodotti, ciò deve essere pertinente alle finalità dichiarate nell’informativa privacy e per le quali l’utente abbia fornito il preventivo consenso.
L’articolo suggerisce inoltre che, all’acquisto un nuovo computer su cui è preinstallato Windows 11, sia opportuno leggere attentamente ciascuna delle numerose richieste di consenso che vengono fatte nei vari passaggi e per negare tutte quelle su cui non si è d’accordo o che destano sospetti di dare inconsapevolmente l’autorizzazione a trasmettere all’esterno più informazioni del dovuto.
Vi sono poi strumenti come O&O ShutUp10++ (anche in versione gratuita e in italiano), che può essere eseguito senza necessità di installarlo, e serve ad assumere il controllo sulle varie funzioni del sistema operativo che comportano la trasmissione di dati all’esterno e bloccare i servizi di raccolta dati in Windows 10 e Windows 11, con una serie di opzioni suddivise per categoria, tra cui quelle relative alla privacy (compreso l’ID pubblicità -codice che permette di tracciare un utente al fine di inviare messaggi su misura-), i servizi di telemetria, l’assistente virtuale Cortana, i servizi di geolocalizzazione e identificazione del sistema, i servizi di tracciamento del comportamento dell’utente, e ovviamente Windows Update Windows Defender, che a regola però non dovrebbero essere bloccati perché effettivamente necessari al buon funzionamento del computer.
[Chi garantisce per ” O&O ShutUp10++” ? Comunque è un prodotto europeo, il cui sito fornisce sia una privacy policy, sia il riferimento ed indirizzo del produttore, il quale si dichiara “Microsoft Partner”. Ndr]
RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY
L’Italia recepirà a breve la direttiva UE 2019/1937 “riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione”
L’articolo Introduzione al prossimo avvio del whistleblowing formato europeo e riflessioni sul nuovo canale orale per le segnalazioni segnala che è imminente l’entrata in vigore del decreto legislativo di recepimento della direttiva UE 2019/1937 “riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione”. Tra le innovazioni vi saranno:
- ampliamento massivo dei soggetti interessati: tutti quelli pubblici e quelli privati con almeno una media di 50 dipendenti o appartenenti a specifici settori); essi saranno tenuti a dotarsi di canali di segnalazione interni, o, per i soggetti minori, di condividerli;
- ambito di applicazione diversificato, limitato alle norme comunitarie per i soggetti privati che non abbiano adottato un modello organizzativo ai sensi del d.lgs. 231/2001;
- ampliamento delle tipologie di soggetti che possono effettuare le segnalazioni;
- tutele (estese anche i lavoratori congiunti del segnalante e i facilitatori per le segnalazioni);
- canali di segnalazione, regolamentando anche il canale orale e le segnalazioni pubbliche;
- ruolo dell’ANAC [Autorità Nazionale Anticorruzione], deputato a garantire e gestire il canale esterno.
Rimangono escluse alcune materie come la sicurezza nazionale e riguardo a segnalazioni di violazioni normate da specifiche disposizioni.
Dal punto di vista della privacy, appare necessaria una valutazione di impatto che tenga conto di rischi, quali
- gestione di contatti con i soggetti segnalanti, rubrica con i recapiti;
- conservazione dei dati (incluso successive modalità di distruzione) e tracciamento degli accessi ai supporti di registrazione, elettronici e cartacei, di rubriche e segnalazioni;
- caratteristiche dei canali telefonici e di messaggistica da utilizzare;
- gestione degli incontri diretti, tutelando i dati del segnalante.
Assume rilevanza, inoltre, l’informativa relativa al trattamento dei dati personali, nonché alla pubblicizzazione ed al funzionamento della procedura.
Ci si attendono linee guida da parte dell’ANAC, anche perché le disposizioni del decreto legislativo avranno effetto dopo quattro mesi dalla sua pubblicazione (il 17 dicembre 2023 per le aziende con un numero di dipendenti tra 50 e 259).
Il nostro sito web è in regola con i cookie?
L’articolo Sui siti web sono illegittime le caselle precompilate con il consenso per i cookie spacciando per ‘tecnici’ quelli non essenziali riferisce che un report redatto dal Comitato Europeo per la Protezione dei Dati (EDPB) lo scorso gennaio contiene precisazioni per il corretto impiego dei cookie (specie in riferimento alla direttiva UE 2002/58), ma non in modo esaustivo, in quanto in certi casi lascia ancora scelte alla responsabilità degli operatori. Seguono i principali argomenti.
Cookie – I cookie sono piccoli file, che i siti web scrivono sul dispositivo usato per navigare su Internet, con le informazioni relative a cosa si fa con quel dispositivo, raccogliendo dati sull’utente, da utilizzare in seguito. Lo scopo può essere solo quello di favorire la navigazione in un successivo accesso, ma può essere anche quello di schedare la persona per marketing o per altri fini (magari scorretti o perfino illeciti). I cookie, dunque, possono essere pericolosi e pertanto ci vuole il consenso per i cookie “non tecnici”. Chi, nell’informativa per il consenso, include i cookie di tracciamento nell’ambito di quelli tecnici compie un illecito.
Rifiuta tutto – Secondo l’opinione prevalente, è necessario un pulsante per esprimere il consenso/dissenso su tutti i cookie. Purtroppo la direttiva 2002/58 non parla espressamente di un’opzione per il rifiuto integrale.
Revoca del consenso – La revoca del consenso deve essere facile e sempre disponibile. Sono utili, al riguardo, un’icona o un link, ma nessuna soluzione è imposta [quindi si rientra nell’accountability del titolare del trattamento dei dati personali, potendo poi il Garante muovere, a posteriori, eventuali obiezioni al riguardo; ndr].
Caselle precompilate – È illegittimo presentare le caselle già contrassegnate con il consenso per determinati tipi di cookie.
Forme ingannevoli – È illegittimo: 1) inserire, come alternativa al consenso, un link apparente con le parole “rifiuta” o simili, affogato in un testo non immediatamente percepibile, oppure inserire il link con l’informativa breve sui cookie al di fuori dal rettangolino del “banner”); 2) usare colori o sfondi, che velano il tasto da selezionare per rifiutare i cookie. In ogni caso scelte cromatiche e di web design sono lasciate alla discrezionalità degli operatori.
Legittimo interesse – Non vanno bene i banner che non danno subito la possibilità di scegliere e rinviano a un’altra pagina in cui sono inserite le caselle precompilata del “legittimo interesse”.
Necessità fasulla – Non devono essere contrabbandati per necessari o essenziali alla navigazione cookie che non sono effettivamente tali. Peraltro, nel report si legge che non è possibile stilare un elenco dei cookie necessari. Da individuarsi, anche qui, caso per caso.
Doppio consenso – Ci vuole il consenso per i cookie. Poi ci vuole una base giuridica per trattare i dati raccolti con i cookie, La raccolta dei cookie è disciplinata dalla direttiva 2002/58 e relative norme nazionali di recepimento (che prescrivono il consenso “cookie”). I trattamenti successivi sono disciplinati dal Gdpr (regolamento 2016/679) e, quindi, si devono applicare le condizioni di liceità previsti dall’articolo 6, compreso il consenso.
Obblighi di informativa e richiesta di consenso, anche subappaltando le attività di marketing
Dall’articolo La scure del Garante della Privacy si abbatte su Altroconsumo: violato il GDPR nelle attività di telemarketing si rileva che indipendentemente dal caso specifico (che peraltro ha riguardato una sanzione di ben 100’000 €), l’intervento del Garante ha riaffermato che non è lecito utilizzare i contatti di liste acquisite da società terze, anche se a queste gli interessati hanno espresso il proprio “consenso per finalità di marketing e per la cessione dei dati a terzi”, se non si procede per proprio conto a consegnare una nuova propria informativa privacy ed a raccogliere preventivamente i nuovi consensi al trattamento, specifici ed informati per le finalità promozionali da svolgere.
Per l’invio di email ad una lista di indirizzi, è bene utilizzare, per i destinatari, la copia nascosta
L’articolo Da evitare l’invio di email con tutti gli indirizzi dei destinatari in chiaro per conoscenza informa che il Garante della Privacy ha ribadito, con un provvedimento, che non devono essere inviate email massive con tutti gli indirizzi in chiaro anche se si tratta di semplici informazioni tecniche. Nello specifico si trattava delle informazioni circa un concorso pubblico inviate da un comune a tutti i partecipanti.
Secondo l’articolo Il governo della filiera dei responsabili del trattamento rientra nell’accountability del titolare, la filiera è costituita dall’insieme di soggetti che si relazionano tra loro e che compiono varie attività nell’ambito di un trattamento di dati personali, soggetti che, in base al GDPR, sono il titolare del trattamento (articolo 4), i responsabili e sub-responsabili del trattamento (articolo 28), i contitolari del trattamento (articolo 26) e, infine, gli autorizzati al trattamento (articolo 4).
Per quanto riguarda il Responsabile del trattamento, esso deve presentare “garanzie sufficienti” in termini di conoscenza specialistica, affidabilità e risorse, per la messa in atto di misure tecniche e organizzative in grado di soddisfare il rispetto della normativa privacy, anche in relazione alla sicurezza del trattamento. Inoltre, il contratto deve vincolare il responsabile al titolare e specificare l’oggetto, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il Responsabile deve essere anche vincolato al rispetto dei requisiti di cui al comma 3, dell’Art. 28 del GDPR.
Il Titolare del trattamento è tenuto ad effettuare le verifiche ex-ante [preventive] dei fornitori, prima della loro nomina a Responsabili, e le verifiche ex-post [nel corso dell’esercizio della loro funzione] dei Responsabili stessi. Il Titolare dovrebbe dunque condurre un risk assessment del responsabile/fornitore fin dalla fase della selezione. Lo strumento può essere una check-list oppure un questionario da far compilare, in modo da verificare vari aspetti, quali:
- un corretto “assetto privacy” (presenza di registro dei trattamenti di dati personali, informative privacy, accordi, procedure per la gestione dei data breach e per la gestione dell’esercizio dei diritti degli interessati, policy di data retention [conservazione dei dati]),
- l’eventuale nomina di un DPO,
- misure tecniche ed organizzative e adeguate,
- l’approccio privacy by design e by default,
- la gestione di eventuali trasferimenti dati extra-Ue.
Dopo la nomina, dovrebbero seguire verifiche periodiche del Responsabile, attuate attraverso speciali audit.
L’articolo cita infine un provvedimento del Garante contro una società che ne aveva incaricata un’altra per attività di marketing, senza la nomina a Responsabile del trattamento e senza la verifica dell’adozione di adeguate misure tecniche e organizzative.
Il whistleblower è tutelato anche se divulga informazioni riservate
La direttiva UE 2019/1937 “riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione” andrà a breve in vigore in vigore in Italia per decreto legge.
L’articolo Tutelato il whistleblower che divulga notizie di interesse pubblico informa che, a fronte di una decisione (su un caso specifico di informazioni fiscali trasmesse a un giornalista) della Corte europea dei diritti dell’uomo, un individuo che divulga informazioni riservate di interesse pubblico, ottenute nel contesto della propria attività lavorativa, deve beneficiare della tutela assicurata dall’articolo 10 della Convenzione.
Un trucco scorretto per carpire il consenso al trattamento dei dati personali
L’articolo Ora gli utenti rinunciano alla loro privacy con il ‘click fatigue’, e quasi il 40% dei siti web di shopping online cercano di raggirarli riporta la definizione di “click fatigue” in relazione alla pratica scorretta (facente parte dei “dark pattern”) di certi siti web, che fanno sì che “gli utenti debbano compiere così tanti passaggi per optare per opzioni più rispettose della privacy che semplicemente si arrendono prima di poter fare le loro scelte”, rinunciando di fatto alle tutele che sarebbero loro riconosciute dal GDPR.
Per chi volesse approfondire ulteriormente, sono disponibili le “Linee guida 3/2022 sui Dark Patterns nelle interfacce sulle piattaforme dei social media: Come riconoscerle ed evitarle“.
Misure di sicurezza per la condivisione di dati personali
L’articolo Ingegnerizzazione della protezione dei dati personali: il rapporto di Enisa riferisce che ENISA (European Union Agency for Cybersecurity) ha pubblicato un rapporto che mostra come ingegnerizzare tecnologie e tecniche specifiche per consentire la condivisione di dati che preservano i dati personali.
In particolare, il rapporto analizza casi d’uso specifici per la condivisione di dati nel settore sanitario; quindi analizza la condivisione dei dati che avviene come parte di un altro processo o servizio, in cui i dati vengono elaborati attraverso un canale o un’entità secondaria prima di raggiungere il destinatario principale.
Data Privacy Framework per il trasferimento dati UE-USA: parere negativo della Commissione LIBE
Dall’articolo Data Privacy Framework per il trasferimento dati UE-USA: parere negativo della Commissione LIBE si apprende [senza peraltro che ci si meravigli; ndr] che la Commissione per le Libertà Civili, la Giustizia e gli Affari interni del Parlamento europeo (Commissione LIBE) ha espresso parere negativo sulla proposta, della Commissione Europea nello scorso dicembre, di adottare una decisione di adeguatezza basata sul Data Privacy Framework per il trasferimento dei dati tra UE e USA. Con tale proposta si intendeva risolvere il problema dei trasferimenti di dati personali tra UE e USA che si è venuto a creare già dal 2020 quando la Corte di giustizia dell’UE aveva dichiarato invalido l’ US-EU Privacy Shield.
Le più rilevanti obiezioni mosse dal LIBE sono le seguenti:
- l’Executive Order 14086 on Enhancing Safeguards For United States Signals Intelligence Activities fa riferimento ai principi di proporzionalità e necessità, ma le definizioni sostanziali di questi concetti non sono però in linea con il loro significato e interpretazione nell’UE;
- non è chiaro il punto per cui il Presidente degli Stati Uniti conserva la possibilità di modificare l’Executive Order;
- le decisioni prese dalla Data Protection Review Court non saranno rese pubbliche o disponibili ai denuncianti e quindi non vi è sufficientemente trasparenza, nonché indipendenza e imparzialità facendo parte la Corte del ramo esecutivo piuttosto che giudiziario;
- a differenza di altri destinatari di una decisione di adeguatezza della Commissione Europea, gli Stati Uniti non dispongono ancora di una legge federale sulla protezione dei dati.
Secondo LIBE, un’eventuale decisione di adeguatezza deve essere vincolata all’introduzione di riforme significative, in particolare ai fini della sicurezza nazionale e dell’intelligence.
IN BREVE, DALL’ITALIA E DAL MONDO
Avete le copie dei vostri dati contabili?
L’articolo Il crash dell’hard disk contenente le scritture contabili può costare caro all’imprenditore prende le mosse da un caso di fallimento sfociato in una condanna per bancarotta semplice documentale.
I libri, i repertori, le scritture e la documentazione obbligatoria o necessaria possono essere formati e tenuti con strumenti informatici, ma è necessario che restino disponibili. Quindi, nel caso in cui l’unica copia venga a mancare, nello specifico per rottura dell’hard disk, ma per esempio anche in caso di furto, l’azienda non è affatto esonerata dall’obbligo del puntuale aggiornamento dell’esercizio corrente, della veridicità delle singole attestazioni dei libri contabili, nonché della loro conservazione.
Computer di bordo e infotainment dell’auto: raccolgono i nostri dati personali
Il sistema operativo del sistema informativo degli attuali autoveicoli non include soltanto i dati operativi (velocità, posizione, manutenzione, chilometraggio, livello del lubrificante ecc.), ma anche quelli inerenti al comportamento del conducente: per esempio distanze percorse, stile di guida, dettagli personali (nome, recapiti, informazioni finanziarie).
L’articolo Il mondo automotive si appella all’UE: ‘serve una legislazione urgente sull’accesso ai dati dei veicoli’ informa che diverse associazioni del settore automotive hanno firmato una lettera per la Comunità Europea, in cui richiedono una legislazione che regoli l’accesso ai dati, tutelando i consumatori, nel rispetto dei principi fondamentali della libertà di scelta, protezione e sicurezza dei dati.
Fra Big Data e ChatGPT: nuovi rischi sulla privacy e nuove responsabilità per i Data Protection Officer
Nella prima parte dell’articolo Fra Big Data e ChatGPT: nuovi rischi sulla privacy e nuove responsabilità per i Data Protection Officer, sono espresse considerazioni, anche in riferimento ad altri articoli, in merito al fatto che l’utilizzo di informazioni estratte dai big data per estrapolare previsioni future attraverso correlazioni (incluse, purtroppo, le fake news), mettere almeno in parte a rischio l’uso del metodo scientifico, il quale si basa invece sulla formulazione di ipotesi a partire da osservazioni e sulla costruzione di teorie che vengono confermate o falsificate dalle evidenze empiriche.
Nella seconda parte, l’articolo tratta della ChatGPT (una chatbox conversazionale ad apprendimento, per quanto noto, automatico ma anche supervisionato e per rinforzo) sviluppata da OpenAI , in grado di conversare e fornire risposte articolate. In questi giorni, in alcuni momenti, è talmente ricercata da non poter processare tutte gli accessi e le richieste. [In effetti, sperimentata per avere informazioni su codice e configurazioni in ambito IT, la ChatGPT ha fornito in prevalenza risposte adeguate per completezza e pertinenza. Ndr]. Un professore intervistato consiglia che chatGPT non sia bandita dalle scuole, bensì insegnata: la scuola dovrebbe fornire la capacità di discernimento per usare al meglio le nuove tecnologie.
Tuttavia sul portale del Garante della privacy si avverte che per accedere al servizio è indispensabile lasciare un indirizzo e-mail e attivare un account ed è certo che il servizio archivia la cronologia delle domande formulate. E’ significativo, infine, vedere che la stessa chatGPT, in risposta alla domanda “Quali sono i rischi per la privacy delle persone connessi ai big data e a ChatGPT?” risponde
<<< I rischi per la privacy associati ai big data e ai modelli di lingua come ChatGPT includono:
- Raccolta eccessiva di informazioni personali
- Uso improprio delle informazioni raccolte
- Intercettazioni o furto di informazioni personali da parte di terze parti
- Profilazione invasiva basata sull’analisi dei dati
- Discriminazione basata sull’analisi dei dati
È importante che le aziende che gestiscono questi dati e modelli adottino misure di sicurezza adeguate per proteggere la privacy dei loro utenti.>>>
In seguito, la risposta potrebbe essere affinata a fronte del progressivo autoapprendimento da parte di chatGPT.
La nomina di DPO può essere revocata
L’articolo Revoca del DPO: ammesse disposizioni più protettive purché compatibili con il GDPR informa che un pronunciamento della Corte di Giustizia europea afferma che è legittima la rimozione di un dipendente dall’incarico di DPO in presenza di un conflitto di interessi, purché ciò non comprometta la realizzazione degli obiettivi del GDPR. E il conflitto di interessi sussiste quando il DPO è incaricato di altri compiti o funzioni che lo inducono a determinare le finalità e i mezzi del trattamento di dati personali.
Forse ci sarà maggior chiarezza sulle regole di comportamento dei dipendenti delle P.A.
Il dpr 62/2013 è il codice di comportamento dei dipendenti pubblici. Secondo l’articolo Social media: linee guida ‘ad hoc’ per i dipendenti pubblici, da una proposta di modifica, della presidenza del consiglio dei ministri, emerge che le P.A. potranno fare controlli sui propri strumenti elettronici, per garantire la sicurezza dei sistemi e dei dati (E l’Agid, sentito il Garante della privacy, dovrebbe a scrivere linee guida ad hoc). I dipendenti pubblici dovranno stare attenti a cosa postano sui loro account privati: testi e video non devono né impegnare l’ente né danneggiarne l’immagine. I dipendenti, per altro verso, potranno fare modico uso personale dei device forniti dall’amministrazione.
Se l’utente si oppone alla telefonata promozionale, il call center deve annotare subito il suo ‘NO’
L’articolo Se l’utente si oppone alla telefonata promozionale, il call center deve annotare subito il suo ‘NO’ ci può interessare come semplici cittadini: ci si può opporre al telemarketing direttamente alla ricezione della chiamata; il call center non ci deve chiedere di inviare la richiesta per email o con altre forme. Il riferimento è al “Provvedimento inibitorio, prescrittivo e sanzionatorio nei confronti di Edison Energia S.p.A. – 15 dicembre 2022 [9856345]“.
VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE
- Il Garante della privacy ha disposto il fermo del chatbot “Replika”, dotato di un’interfaccia scritta e vocale che basandosi sull’intelligenza artificiale genera un “amico virtuale”, il quale sarebbe in grado di migliorare il benessere emotivo dell’utente. Infatti potrebbero esserci seri rischi per i soggetti ancora in una fase di sviluppo o in stato di fragilità emotiva, mentre non è in alcun modo accertata la maggiore età dell’utente durante la creazione dell’account, né dopo.
- Confermata in corte di appello una sanzione di 4 milioni di Euro comminata a Facebook dalla Repubblica di San Marino, per la pubblicazione indebita dei dati personali di quasi 13 mila utenti.
- Il Garante della Privacy ha adottato un provvedimento di avvertimento nei confronti di Meta, perché in occasione delle ultime elezioni politiche del 25 settembre 2022 le piattaforme Facebook e Instagram avrebbero raccolto illecitamente dati personali di migliaia di cittadini italiani senza alcun consenso da parte dei diretti interessati.
- Il Tribunale di Roma annulla la sanzione da 26,5 milioni di euro che il Garante della Privacy aveva inflitto ad Enel Energia ed annulla il provvedimento in base al quale Enel Energia avrebbe dovuto adeguare ogni trattamento di dati svolto dalla rete di vendita a modalità e misure idonee a comprovare che l’attivazione di offerte e servizi e l’attivazione di contratti avvenisse solo a seguito di contatti promozionali su numerazioni telefoniche censite e iscritte al Registro degli operatori della comunicazione, implementando ulteriori misure tecniche e organizzative per gestire le istanze di esercizio dei diritti degli interessati.
ing. Michele Lopardo
Responsabile Qualità @ Wondersys