RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY
Uno strumento gratuito per analizzare la conformità dei siti web rispetto ai requisiti del GDPR
L’articolo Dall’European Data Protection Board un tool gratuito per analizzare la conformità dei siti web al GDPR informa che l’EDPB (European Data Protection Board) ha reso disponibile uno strumento per l’analisi della conformità di siti web rispetto al GDPR. Si tratta di software (EDPB Website Auditing Tool) libero e open source sotto la licenza EUPL 1.2, utilizzabile in modo semplice sia dalle Autorità di controllo che dai titolari e responsabili del trattamento dati personali.
Questo strumento è compatibile con l’EDPS Inspection Software, il cui software è scaricabile dalla pagina web Website Evidence Collector, che raccoglie prove del trattamento dei dati personali, come i cookie, o richieste a terze parti, per comprendere meglio quali informazioni vengono trasferite e archiviate durante una visita di un sito web.
Restrizioni per l’utilizzo delle email aziendali
L’articolo Dal Garante Privacy nuove tutele per l’email di lavoro dei dipendenti rivela che lo scorso dicembre, il Garante della Privacy ha adottato un provvedimento con cui ha pubblicato il DOCUMENTO DI INDIRIZZO “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.
L’attenzione dell’Autorità garante si è rivolta ai metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti (ad es., giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). Premesso che anche le email inviate e ricevute tramite account aziendali vengono considerate suscettibili di contenere dati personali, il Garante richiede ai datori di lavoro (pubblici e privati) di impedire o limitare la raccolta dei metadati che potrebbero consentire elaborazioni per ricavare valutazioni prestazionali dei lavoratori, i quali sono sono considerati soggetti vulnerabili proprio in ragione del rapporto di dipendenza. Il periodo di conservazione dovrebbe non superare la settimana, o al più 9 giorni in caso di documentate esigenze. Oltre questi termini, e prendendo a riferimento l’Art. 4 dello Statuto dei Lavoratori (legge 300 del 20/05/1970) [peraltro intitolato “impianti audiovisivi”], si ravviserebbe un controllo a distanza dell’attività del lavoratore e/o l’acquisizione di informazioni sensibili, richiedente necessariamente un accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro, anche se il mantenimento dei metadati fosse motivato da specifiche esigenze di sicurezza dei sistemi.
La verifica che i programmi e servizi di gestione della posta elettronica consentano la limitazione del periodo di conservazione dei metadati dovrebbe avvenire “prima di dare avvio alla preventiva e sistematica raccolta dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti”. In difetto, secondo il Garante si può sempre “cessare l’utilizzo di tali programmi e servizi informatici”.
[Questo provvedimento del Garante è estremamente cautelativo, in quanto la possibilità che amministratori di sistema dell’azienda possano accedere ai metadati non implica affatto che questi vengano aggregati ed elaborati e tanto meno sfruttati per un monitoraggio sistematico o addirittura per prendere decisioni automatiche in capo ai lavoratori. Inoltre, anche se la cancellazione dei metadati non implica la perdita del testo e degli allegati delle email, poterle rintracciare e visualizzare potrebbe diventare problematico, in dipendenza dai metodi di archiviazione adottati dal provider di posta elettronica; né è affatto vero che una settimana è un periodo di tempo congruo per le esigenze organizzative e produttive: potrebbe essere infatti necessario rintracciare email trasmesse o ricevute da anni.
Sono già usciti numerosi articoli, espressi in termini legali, che in pratica si limitano a trascrivere la posizione del Garante. La speranza è che nel breve periodo qualcuno possa invece fornire una soluzione tecnica accettabile. Al momento l’unico articolo trovato, che sembra affrontare con maggior sensibilità il problema ed indica l’accordo sindacale quale mezzo per superare la conservazione dei metadati entro sette giorni, è “Conservazione dei metadati della posta elettronica dei dipendenti: il parere del Garante“. Ndr]
Un codice di condotta per la selezione del personale
Secondo l’articolo Selezioni del personale da svolgere senza consultare i profili social personali dei candidati, la legge (D.Lgs 81/2008 e altre) indica con precisione come devono essere gestite le ricerche di personale: in base al principio della trasparenza e non discriminazione, le ricerche di personale e colloqui di lavoro non devono riguardare aspetti diversi dalla competenza e idoneità professionale del lavoratore. Tuttavia nei mezzi di comunicazione elettronica e tradizionale compaiono numerosi annunci discriminatori, vessatori e non legittimi.
L’organismo Assolavoro ha elaborato un codice di condotta, approvato dal garante della privacy, fissando delle buone prassi per il corretto trattamento dei dati effettuato nell’ambito delle attività di intermediazione, ricerca e selezione del personale.
La prima regola è che devono essere trattati solo dati strettamente necessari all’instaurazione del rapporto di lavoro. Qualsiasi dato personale di categoria particolare non deve essere richiesto, neppure con il consenso degli interessati, se non strettamente pertinente [un’azienda che offre il servizio mensa e chiede se ci sono cibi per i quali offrire delle alternative, lo fa comunque nell’interesse degli interessati, anche se sono desumibili la religione o i dati sanitari (allergie); ndr].
Non devono essere reperite informazioni consultando i profili social destinati alla comunicazione interpersonale nel tempo libero; mentre si possono consultare i canali di natura professionale come Linkedin.
Le agenzie per il lavoro possono acquisire referenze professionali dei candidati presso precedenti datori di lavoro, per comunicarle ai propri clienti per conto dei quali è effettuata la ricerca di personale, esclusivamente con il permesso degli interessati e purché non si tratti di provvedimenti disciplinari o procedimenti giudiziari. [Su questo punto si può essere o meno d’accordo, ma tant’è; ndr].
Le agenzie di ricerca devono inoltre redigere una dettagliata valutazione di impatto nel caso in cui ricorrano a decisioni con supporto automatizzato per la selezione dei candidati e devono predisporre un’informativa accurata che specifichi i meccanismi alla base dell’automazione e come vengono effettuate le verifiche periodiche circa l’affidabilità del sistema. Devono essere altresì garantiti l’intervento umano, la possibilità di replica e di contestazione della decisione.
Chi aderisce a questo codice di condotta, sarà soggetto a verifiche da parte di un ente indipendente.
Prassi per evitare i dark pattern (ma non tutte sono obbligatorie)
Nelle Linee Guida 3/2022 l’EDPB (European Data Protection Board) ha elencato 20 buone prassi per evitare i dark pattern [cioè quelle interfacce e quei percorsi di navigazione progettati per influenzare l’utente affinché intraprenda azioni inconsapevoli o non desiderate, come definiti dalla relativa pagina informativa del Garante. Ndr]
Tra tali prassi, l’articolo Nelle linee guida dell’European Data Protection Board 20 buone prassi per evitare i dark pattern cita:
- l’inserimento sul sito web di scorciatoie verso opzioni a favore dell’utente (come un link per la cancellazione dell’account ed un link al modulo per l’esercizio dei diritti);
- la messa a disposizione per l’utente di opzioni in blocco e cioè l’accorpamento di opzioni che hanno lo stesso scopo, lasciando comunque la possibilità di apportare modifiche più granulari;
- un accesso facile alle informazioni di contatto dell’azienda e del Garante, con un link alla pagina specifica del sito web relativa alla presentazione di un reclamo;
- una privacy policy di facile leggibilità, con sommario e nomi dei capitoli chiari, con evidenza di eventuali modifiche e senza che ci siano contrasti con i contenuti di altre pagine del sito web;
- la definizione ed esemplificazione dei termini tecnici;
- l’immediata visibilità degli elementi o delle azioni relative alla privacy;
- l’invito a impostare le preferenze sulla privacy al primo utilizzo (“onboarding”);
- finestre relative alle informazioni sulla privacy ed un pulsante a fondo pagina per raggiungere queste informazioni;
- l’utilizzo di notifiche (e-mail, finestre pop-in, banner fissi nella parte superiore della pagina web) per sensibilizzare sui rischi per la privacy;
- un’informazione neutrale sulle conseguenze dell’eventuale attivazione o disattivazione di un controllo della privacy o dell’eventuale revoca dei consensi;
- la collocazione nella stessa posizione delle impostazioni privacy sui diversi tipi di dispositivo con cui si può accedere al sito (“coerenza cross-device”);
- la predisposizione di una directory privacy (una pagina con tutte le informazioni);
- messaggi informativi contestuali sintetici durante la navigazione;
- un nome dell’Url autoesplicativo delle pagine con le preferenze privacy.
Pillole sul trattamento dei dati personali dei dipendenti
L’articolo La privacy non è un diritto assoluto del lavoratore ma il trattamento dei suoi dati personali deve essere ridotto al minimo necessario delinea i seguenti punti.
Il datore di lavoro è legittimato al trattamento dei dati personali dei dipendenti, anche particolari se strettamente necessari (principio di minimizzazione), per assolvere agli obblighi di legge, al contratto tra le parti e per la stessa gestione del rapporto di lavoro.
Il consenso al trattamento è necessario per eventuali ulteriori dati sensibili non contemplati dalle basi giuridiche suddette.
La raccolta ed il trattamento ulteriore di dati personali dei lavoratori proseguono, oltre le fasi di selezione ed assunzione, per l’intera durata del rapporto di lavoro.
Il trattamento di dati giudiziari è soggetto a vincoli molto stretti (leggi o provvedimenti del Garante per rilevante interesse pubblico).
I dati personali devono essere raccolti direttamente presso l’interessato. Nel caso in cui si vogliano raccogliere referenze professionali, è necessaria l’informazione preventiva. [da confrontare con quanto espresso nell’articolo Selezioni del personale da svolgere senza consultare i profili social personali dei candidati, in cui è prevista la richiesta di consenso preventivo se la ricerca del personale è eseguita da agenzie del lavoro. Ndr]
L’autore, citando la Corte europea dei diritti dell’uomo, specifica che non è completamente attuabile la limitazione del trattamento alle informazioni di stretta natura professionale, in quanto questa non è nettamente separabile da quella privata, che anche potrebbe essere favorita dalla prima, nell’ambito dei rapporti sociali.
In ogni caso, il datore di lavoro deve poter dimostrare (principio dell’accountability) che il trattamento è effettuato esclusivamente per le finalità di lavoro e che queste tengono conto del bilanciamento con i diritti e le libertà fondamentali degli individui (i dipendenti).
Anche i lavoratori, da parte loro, devono accettare di fornire al datore di lavoro le informazioni personali legittimamente necessarie.
[Per quanto riguarda la specificità dei trattamenti dei dati delle persone ricercate e selezionate dalle Agenzie per il Lavoro (APL), l’articolo Agenzie per il Lavoro, il focus sul Codice di condotta, cui si rimanda, illustra uno specifico Codice di condotta, in linea con l’Art. 40 del GDPR. Ndr]
Per la cancellazione dei metadati delle email, aspettiamo ulteriori decisioni dopo la consultazione
L’articolo Termini di conservazione email dei lavoratori, il Garante Privacy avvia una consultazione pubblica con 30 giorni di tempo per inviare commenti e proposte informa che dal 17 febbraio è aperta la consultazione che riguarda il provvedimento del 21/12/2023 con cui il Garante disponeva i termini di conservazione dei metadati (giorno, ora, mittente, destinatario, oggetto, dimensione dell’e-mail) delle email entro 7 (o 9) giorni.
Chi è interessato può inviare al Garante le proprie osservazioni tramite posta ordinaria o alle caselle protocollo@gpdp.it oppure protocollo@pec.gpdp.it.
In virtù della consultazione, il provvedimento in questione è stato differito.
Un organismo di monitoraggio in base al codice di condotta per le verifiche di solvibilità
L’articolo Attivo il sito web dell’Organismo di monitoraggio del Codice di condotta in tema di crediti al consumo, affidabilità e puntualità nei pagamenti informa che, in relazione al “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”, a fronte dell’Art. 41 del GDPR è stato istituito anche il corrispondente Organismo di monitoraggio.
E’ disponibile il sito internet con il modello per l’eventuale invio dei reclami. Il sito tuttavia può dirimere solo le questioni che coinvolgono i sistemi di informazioni creditizie aderenti al codice di condotta.
Prevenzione della corruzione, whistleblowing e privacy per gli istituti scolastici
Si cita l’articolo Applicazione di whistleblowing e privacy nelle scuole: indicazioni base per una verifica della compliance, al cui originale si dovrà far riferimento, ad uso dei responsabili di istituzioni scolastiche.
Premesso che il Direttore dell’ufficio scolastico regionale (DUSR) (o il Dirigente ad esso preposto) è il soggetto responsabile della prevenzione della corruzione (RPCT) per gli istituti scolastici di ogni ordine e grado, secondo le Linee guida ANAC sull’applicazione del Decreto Whistleblowing (DLWB), essendo amministrazioni pubbliche tenute alla nomina dell’RPCT, è lo allo stesso DUSR che fa capo il trattamento dei dati personali afferenti al whistleblowing.
Alle scuole (private) paritarie, sotto un certa dimensione, e non paritarie il DLWB non si applica, così come non hanno l’obbligo di applicare le misure di prevenzione della corruzione.
Viceversa, dal punto di vista della protezione dei dati personali, secondo l’autore dell’articolo, anche le scuole private sarebbero soggette alla nomina del Data Privacy Officer (DPO), in quanto comunque svolgono un’attività con un pubblico rilievo; ed in ogni caso, tale nomina è “vista con favore dalle Autorità Garanti”.
Il Modello per la Privacy per il DPO e il Titolare del trattamento dati personali
Secondo l’articolo Due diligence e gap analysis: i necessari presupposti per realizzare livelli elevati di compliance privacy in azienda, un DPO o un consulente privacy dovrebbero, all’assunzione dell’incarico, verificare il Modello Organizzativo per la Privacy (MOP) dell’azienda. In assenza o carenza di questo, dovrebbero eseguire una gap analysis, cioè un piano d’azione dettagliato e sequenziale finalizzato all’implementazione di miglioramenti effettivi e quantificabili nel trattamento e nella protezione dei dati personali.
In capo al Totolare del trattamento dei dati personali (il “controller”) ricadono diverse responsabilità generali, sia all’interno della sua organizzazione, per il personale dipendente “autorizzato al trattamento”, sia all’esterno, per altri dipendenti che rivestono il ruolo di “responsabili del trattamento”.
Tali responsabilità devono inoltre essere esercitate sotto diversi punti di vista. Riferendosi alla terminologia inglese, infatti si deve parlare di:
– “Responsibility”, per la responsabilità esecutiva dei compiti previsti per ottemperare al GDPR,
– “Liability”, quale responsabilità legale, comprendente l’essere soggetto a sanzioni pecuniarie [e penali in certi casi] e a risarcimenti,
– “Accountability”, dovendo rendere conto delle proprie azioni (così come i consigli di amministrazione delle aziende devono nei confronti degli investitori) [questo tipo di responsabilità implica il dover essere capaci di dimostrare la propria conformità al GDPR, per le attività eseguite e la loro efficacia. Ndr]
Predisponendo un sistema di gestione dei processi di trattamento dei dati personali, documentato in un MOP, il titolare può dimostrare l’adempimento alla sua responsabilità generale [più specificatamente dell’accountability; ndr]. A maggior ragione se adotta un framework per la cybersecurity e per la protezione dei dati personali, o un sistema di gestione della sicurezza delle informazioni.
La “due diligence” parte dalla gap analysis, con cui si individua l’effettivo livello di compliance dell’organizzazione. Quindi si rileva e valuta il divario tra tale livello e quello invece desiderabile [e dovuto]. Si pianificano, infine, gli interventi attuativi di miglioramento, tecnico e organizzativo, per colmare le lacune riscontrate riguardo ai rischi per i diritti e le libertà fondamentali delle persone fisiche.
GESTIONE DEI RISCHI E MISURE DI CONTRASTO
Può essere il caso di limitare l’utilizzo di ChatGPT e altre piattaforme di Intelligenza Artificiale generativa
Secondo l’articolo Il 51% delle organizzazioni impone ai propri dipendenti restrizioni sull’uso dell’Intelligenza Artificiale generativa a causa dei timori sulla privacy, un’indagine effettuata da CISCO in 12 aree geografiche ha rilevato che quasi un terzo delle organizzazioni (27%) stanno limitando ai propri dipendenti l’uso dell’Intelligenza Artificiale generativa (come ad esempio ChatGPT) a causa delle preoccupazioni legate alla privacy e alla sicurezza dei dati. In effetti ca. il 40% delle persone intervistate ha ammesso di aver introdotto informazioni aziendali riservate.
Circa il 50% delle organizzazioni italiane ha imposto limitazioni ai dati che possono essere inseriti nei propri strumenti di Intelligenza Artificiale generativa, e un altro 50% ca. ha stabilito restrizioni sugli stessi strumenti che possono essere utilizzati. Ciò ha a che fare anche con le rassicurazioni che le aziende devono dare ai loro clienti circa la trasparenza e la correttezza dei trattamenti relativi ai loro dati.
Ad avvalorare certe preoccupazioni, l’articolo Il Garante della privacy notifica a OpenAI l’atto di contestazione per le violazioni del Gdpr di ChatGPT informa che il Garante della privacy ha notificato a OpenAI (che gestisce la piattaforma ChatGPT) l’atto di contestazione per aver violato la normativa in materia di protezione dei dati personali. Dopo il provvedimento di limitazione provvisoria del trattamento, adottato nel marzo 2023, il Garante ha ritenuto gli elementi acquisiti non conformi ai requisiti del GDPR.
L’utilizzo dei sistemi di Intelligenza Artificiale “ad alto rischio” richiede diversi adempimenti
Ci si sta avvicinando all’adozione definitiva del regolamento UE dedicato alla governance dell’intelligenza artificiale (IA). Riveste particolare interesse la gestione di sistemi di IA cd. ad alto rischio, di cui tratta l’articolo Nel lavoro sistemi di intelligenza artificiale ad alto rischio solo se con un sistema di gestione.
Un sistema di IA è definito ad alto rischio se:
- consente l’identificazione e categorizzazione biometrica delle persone fisiche;
- è utilizzato nell’ambito delle politiche occupazionali e gestionali dei lavoratori per
- pubblicizzare i posti vacanti, vagliare o filtrare le candidature, valutare i candidati nel corso di colloqui e selezionare una persona ai fini dell’assunzione,
- valutare l’opportunità di promuovere un lavoratore o di assegnargli specifici compiti, mansioni o funzioni,
- valutare la prestazione di lavoro e il comportamento del lavoratore,
- risolvere il rapporto di lavoro.
Prerequisito [non necessariamente sufficiente; ndr] per l’adozione di un sistema di IA ad alto rischio è che il fornitore del sistema abbia fornito la conformità ai requisiti dell’AI Act, valutati anche in relazione alle finalità di impiego. Il fornitore deve attuare e mantenere costantemente aggiornato un sistema di gestione dei rischi per tutto il ciclo di vita del sistema di IA. La gestione dei rischi è costituita da identificazione e analisi dei rischi noti e prevedibili, inclusi quelli per un utilizzo improprio del sistema, valutazione dei rischi e adozione di adeguate misure di prevenzione ed attenuazione già in fase di progettazione.
Il fornitore dovrà inoltre fornire all’utente del sistema IA dettagliate informazioni sul funzionamento e sui rischi residui e potrà fornire una formazione di rilevanza inversamente proporzionale all’esperienza pregressa dell’utente in materia. Il sistema AI dovrà essere preventivamente verificato in relazione alle finalità del suo utilizzo.
L’impresa che si avvarrà di un sistema IA dovrà non solo verificarlo in ragione delle proprie esigenze, ma anche verificare che il fornitore abbia assolto a tutti i requisiti di cui sopra. Dovrà anche controllare che i dati utilizzati siano pertinenti, monitorare il funzionamento del sistema e sospenderlo in caso di gravi anomalie, conservare i log generati automaticamente per un congruo periodo.
In pratica, anche l’azienda utente dovrà dotarsi di un sistema di gestione del sistema IA, che preveda politiche, responsabilità, procedure e misure di verifica e controllo del funzionamento.
L’articolo Artificial Intelligence Act, con il voto del Coreper il tempo dei cambiamenti è finito aggiunge altre considerazioni, tra cui quella relativa ai “Modelli AI per scopi generali” (“Modelli GPAI”), che sono modelli di intelligenza artificiale addestrati con una grande quantità di dati (utilizzando l’auto-supervisione su larga scala), che mostrano una generalità significativa ed sono in grado di eseguire con competenza un’ampia gamma di compiti distinti indipendentemente dal modo in cui sono posizionati sul mercato
PUBBLICITA’ E PRIVACY
Fornire i consensi per l’utilizzo dei nostri dati personali senza aver letto le informative può mettere a serio rischio la nostra privacy
L’articolo Il diritto di dire no a chi ci chiede di rinunciare alla nostra riservatezza: non una battaglia contro la tecnologia ma una difesa della nostra privacy vuole mettere in guardia dallo strapotere delle poche grandi aziende (americane e cinesi), definite “i capitalisti della tecnologia di sorveglianza”, che governano piattaforme, motori di ricerca, messaggistica istantanea, commercio elettronico utilizzando un’enorme quantità di dati attraverso l’intelligenza artificiale.
L’ Artificial Intelligence Act, varato dal Parlamento e dal Consiglio europeo, che richiede un approccio “risk based”, nei confronti della protezione dei dati personali, di fronte all’utilizzo di sistemi di intelligenza artificiale e condivisione dei dati, potrebbe non essere sufficiente. Da qua l’invito a capire, leggendo attentamente le informative, quali rischi si corrono utilizzando una determinata tecnologia e valutare se i rischi sono superiori ai vantaggi.
[Purtroppo, troppo spesso le informative sono troppo lunghe rispetto alla fretta con cui vorremmo usufruire delle prestazioni di IA ed, inoltre, se il fornitore volutamente contravvenisse al principio della trasparenza, sarebbe persino abbastanza inutile leggerle; ndr]
LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE
Telecamere a scuola: solo per determinate condizioni
[I responsabili delle strutture scolastiche possono essere interessati all’articolo Telecamere contro gli atti vandalici a scuola, le regole del Garante Privacy, cui si rimanda. Ndr]
IN BREVE, DALL’ITALIA E DAL MONDO
Criticità nel lavoro del DPO: possibili interventi
L’articolo L’importanza del ruolo dei Data Protection Officer nell’indagine dell’EDPB: punti di attenzione e possibili soluzioni informa che in un documento pubblicato lo scorso gennaio, l’EDPB (European Data Protection Board), ha presenta un’analisi approfondita e dettagliata sul ruolo, la designazione e la posizione dei DPO nelle organizzazioni.
L’articolo espone cinque criticità e le relative raccomandazioni.
- Assenza di Designazione del DPO dove è Obbligatoria ==> aumentare la conoscenza circa i casi in cui la nomina del DPO è vincolante.
- Risorse Insufficienti Assegnate ai DPO ==> le risorse assegnate possono includere un team di supporto ed addirittura l’affiancamento da parte di un secondo DPO.
- Conoscenze e Formazione Insufficienti dei DPO ==> fornire materiali per l’apprendimento autonomo e promuovere formazione ed aggiornamenti continui.
- Conflitto di Interessi e Mancanza di Indipendenza del DPO ==> definire una posizione indipendente del DPO e non assegnare compiti che possano essere in conflitto.
- Mancata o Inadeguata Segnalazione ai Livelli di Direzione più Alti ==> favorire (e obbligare) il DPO nelle comunicazioni ai livelli decisionali, attraverso un canale diretto.
Pare che i DPO abbastanza spesso non possano svolgere la loro funzione con efficacia
Dall’articolo Data Protection Officer sotto pressione da marketing e management per limitare la conformità al GDPR, che fa seguito ad un sondaggio condotto dall’organizzazione no-profit European Center for Digital Rights NOYB (“none of your business”), emerge una situazione negativa circa l’applicazione del GDPR.
Secondo i 3/4 dei professionisti della protezione dei dati intervistati, se i Garanti della privacy effettuassero controlli in una azienda media troverebbero violazioni rilevanti del GDPR.
C’è un’indubbia conflittualità tra l’obiettivo del profitto per le organizzazioni, i costi per adempiere al GDPR e l’obbligo di rispettarlo.
Nella maggior parte dei casi, i DPO sono contrastati dagli uffici vendite e marketing o dall’alto management aziendale. Un’altra difficoltà è, spesso, la mancata garanzia di conformità al GDPR da parte di prodotti di fornitori extra UE.
Una motivazione ad essere conformi al GDPR è data alle aziende dal vedere comminate sanzioni economiche o pubblicate decisioni contro chi ha commesso violazioni.
Solo una minoranza ritiene che le guide pubblicate dall’European Data Protection Board siano influenti [forse perché aggiungono o puntualizzano ulteriori prescrizioni, invece di semplificare, e continuano ad aumentare il carico di lavoro per la conformità? ndt]
Il giudizio degli esterni alle aziende (gli “interessati”) è ancor più critico, specie in relazione al diritto di accesso ai dati personali.
Il Digital Service Act è in vigore!
L’articolo Digital Services Act, ora tutte le aziende che operano online devono rispettare le nuove regole informa che, col perseguire, a tutela dei consumatori, la trasparenza su algoritmi e pubblicità, la lotta alla violenza online e alla disinformazione, la protezione dei minori e lo stop alla profilazione degli utenti utilizzando dati sensibili, dal 17 febbraio 2024 il Digital Services Act (DSA), il Regolamento europeo (UE) 2022/2065 [ndr], relativo a un mercato unico dei servizi digitali, è diventato legge per tutti i fornitori di cloud e di hosting, i motori di ricerca, l’e-commerce, i servizi online e, in generale, per tutti gli intermediari in rete. Sono interessati anche piattaforme online come marketplace, social network, piattaforme per la condivisione di contenuti, app store e piattaforme online per viaggi e alloggi.
I non adempienti rischiano multe fino al 6% del fatturato annuale e fino al 5% dei ricavi medi quotidiani per ogni giorno di ritardo nell’applicazione delle contromisure richieste.
La Commissione Europea deve adottare una serie di atti delegati per contribuire all’attuazione e aumentare la certezza del diritto per guidare i piani di conformità. Ma, al solito, il regolamento è in vigore e le guide in merito, a carico degli organismi preposti, non ci sono ancora.
Sono iniziate le ispezioni del Garante per il 2024
Come ci fa presente l’articolo Pubblicato il piano delle attività ispettive del Garante Privacy nel primo semestre 2024, tra gennaio e luglio 2024 sono previsti controlli, anche per mezzo della GdF, sulle piattaforme di registro elettronico, i gestori di identità digitale SPID, le società che gestiscono sistemi di allarme.
Saranno oggetto di ispezione
– gli istituti, banche dati e gestori di identità digitale, elencati in un’apposita pubblicazione dell’Autorità,
– gli istituti scolastici, che gestiscono numerosi dati personali, utilizzando piattaforme di registro elettronico e suite digitali,
– i gestori di identità digitale SPID e la filiera dei soggetti di cui essi si avvalgono per il rilascio di servizi fiduciari (firma digitale),
– le banche dati pubbliche di Anagrafe tributaria e INPS,
– la corretta implementazione delle Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021, anche attraverso accertamenti online, con particolare riguardo all’acquisizione del consenso preventivo al tracciamento,
– il consenso al marketing e alla profilazione nonché in relazione allo svolgimento di campagne di telemarketing.
Una vittoria contro un agguerrito gruppo di hacker
Si apprende con piacere, dall’articolo Sgominata Lockbit, la banda di hacker più dannosa al mondo, la notizia che le forze dell’ordine (in operazione congiunta tra Europol e autorità USA e Gran Bretagna) abbiano posto sotto sequestro il codice sorgente, le chat e i dati sulle vittime, prendendo il controllo anche del pannello di affiliazione con cui potevano operare i “clienti” del servizio di ransomware messo a disposizione dal gruppo criminale Lockbit.
[peccato che non siano anche stati individuati e perseguiti i criminali, che potranno ancora creare un altro analogo sito nel dark web. Si è solo guadagnato del tempo. Ndr]
Le esigenze per il DPO che opera in ambito bancario
L’articolo Da Garante Privacy e Abi la prima ‘fotografia’ sul Data Protection Officer in ambito bancario informa che l’Associazione Bancaria Italiana (ABI) ha avviato una ricerca da cui è emerso che le peculiarità richieste ai DPO del settore bancario sono collocazione rispetto ai vertici aziendali, indipendenza nell’eseguire i propri compiti, autonomia e attribuzione di adeguate risorse umane e finanziarie.
Il progetto, cui partecipa il Garante della Privacy, è di costituire un gruppo di lavoro (“Rete dei Responsabili della protezione dati nel settore bancario”), con il fine di tutelare i dati personali in un ambito complesso, ciò che è reso più impegnativo dall’utilizzo di nuove tecnologie come l’intelligenza artificiale.
La correttezza nel trattamento dei dati dei dipendenti conviene all’azienda
E’ noto che l’attenzione di un’azienda alla correttezza e trasparenza nel trattamento dei dati personali costituisce un’utilità in termini di “branding”, in quanto può favorire un ampliamento della propria clientela.
Secondo l’articolo Il trattamento dei dati personali dei lavoratori come strumento aziendale di employer branding, quando tale attenzione riguarda i dati dei dipendenti, si ha un ritorno in termini di branding “interno”, poiché si amplia la platea dei candidati ad una assunzione facilitando la risoluzione di problemi di turnover [quantitativi e qualitativi, ndr].
Tutto ciò però non deve limitarsi alla creazione di un’immagine pubblicitaria favorevole senza corrispondenti assunzione di impegni e effettive applicazioni (ciò che sarebbe un mero “woke washing” [lavaggio di coscienza]). Dovrebbe invece essere previsto nel Modello Organizzativo per la Privacy e nella mission aziendale, trovando applicazione nella governance dei dati.
Il Digital Markets Act è ora pienamente vincolante per le entità per cui è applicabile
Dall’articolo Il 7 marzo scade il termine per adeguarsi al Digital Markets Act si rileva che è’ ormai scaduto (il 7 marzo 2024) il termine entro cui le grandi realtà, designate come “gatekeeper” dalla Commissione europea, dovevano allinearsi alle disposizioni del Digital Markets Act (DMA), il nuovo regolamento europeo volto a garantire che i mercati nel settore digitale siano equi e contendibili.
Il DMA, insieme al Digital Services Act (DSA), costituisce una parte fondamentale del Digital Services Package. I “gatekeepers” le grandi piattaforme online, che hanno il potere di controllare l’accesso ai mercati digitali, come Amazon, Google, Microsoft, Apple ed altri.
L’articolo prosegue con un elenco riassuntivo degli obblighi e dei diviet,i secondo il DMA, e delle sanzioni previste per gli inadempienti.
VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE
- Il Garante della Privacy sanziona quattro comuni per inadempimenti sul Data Protection Officer (mancata comunicazione della nomina e dei dati di contatto).
- Inflitta ad Enel Energia una sanzione di oltre 79 milioni di euro, per gravi carenze nei trattamenti dei dati personali di numerosi utenti, ai fini di telemarketing. In particolare Enel Energia avrebbe acquisito un migliaio di contratti con gli utenti, da quattro società non appartenenti alla propria rete di vendita. Inoltre sarebbero emerse gravi carenze di sicurezza nei sistemi informativi destinati alla gestione dei clienti e all’attivazione dei servizi.
ing. Michele Lopardo
Responsabile Qualità @ Wondersys