Privacy Point – Dalla rassegna stampa online sulla protezione dei dati personali - Gennaio 2022

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

I dispositivi di accesso fisico sono sotto controllo?

L’articolo La gestione degli accessi fisici per la protezione dei dati personali: chiavi, badge e codici di allarmi sottolinea come il controllo degli accessi fisici sia spesso trascurato, nonostante sia dovuto per il rispetto del GDPR e previsto nella ISO 27001 [Information technology – Security techniques – Information security management systems – Requirements].

Una cattiva gestione dei dispositivi fisici (chiavi, badge) per accedere ai locali dell’organizzazione può esporre i dati a rischi [e non solo i dati]. Nella gestione dei rischi si dovranno considerare gli accessi alle aree e locali dove sono conservati dati sia in formato cartaceo (es. archivio uffici personale), che elettronico (es. sala server, deposito computer).

Le vulnerabilità possono scaturire da:

• smarrimento, furto, duplicazione illecita delle chiavi (o altro dispositivo di accesso, quale un badge [fisico] o una combinazione [immateriale] – [nel seguito ci si riferisce a tutti questi pur citando le sole chiavi]),
• perdita del controllo delle copia delle chiavi consegnate a terzi (manutentori, impresa di pulizie).
• assegnazione degli accessi senza tener conto del principio di minimizzazione e delle funzioni.

Le misure organizzative di mitigazione dei rischi dovrebbero essere tra le seguenti [sono esposte qua solo le principali].

• definizione di chi ha l’autorità per decidere le assegnazioni delle chiavi
• mappatura delle chiavi, per tipologia (chiavi dell’ufficio, chiavi degli armadi, ecc.) e per assegnazione
• definizione di dove e come sono custodite le copie delle chiavi
• procedura per la consegna ed il ritiro delle chiavi
• registrazione degli accessi straordinari (consegna temporanea delle chiavi)
• pianificazione e gestione degli interventi di manutenzione e controllo.

Ancora sulle protezioni degli accessi fisici

L’articolo La gestione degli accessi fisici: una proposta di check list è il proseguimento del precedente e fornisce una lista di vulnerabilità e misure di protezione relative agli accessi fisici a dati personali. Molti item sembrano non aver relazione con privacy, ma in realtà l’eventuale concretizzazione della minaccia cui sono relativi si ripercuoterebbe, indirettamente, anche su eventuali dati personali.

[Inoltre, tale lista può essere utile anche a protezione di altri dati riservati ed asset dell’azienda, anche non connessi alla privacy. La lista è talmente dettagliata che sarebbe inutile riportarla in queste righe e si rimanda quindi al testo originale, da cui trarre poi i soli argomenti pertinenti con le attività dell’azienda e ponderati in funzione della gravità del danno eventuale. Ndr]

Tra i punti chiave possono essere molto sinteticamente evidenziati:

• l’identificazione degli accessi da proteggere (non solo a edifici e locali, ma anche per es, armadi, cassettiere, casseforti)
• la definizione di chi è autorizzato all’accesso (soggetti interni ed esterni)
• le modalità di accesso e gli strumenti per accedere (chiavi, badge, combinazioni)
• la registrazione della distribuzione degli strumenti di accesso
• le procedure per la conservazione o la distruzione degli strumenti di accesso o la loro ridefinizione (combinazione)
• le manutenzioni (impianto di allarme, lettore di badge)

Il tutto ovviamente con tanto di relative registrazioni.

Siamo sempre più spiati (almeno potenzialmente)

L’articolo Elettrodomestici intelligenti in ufficio, attenzione alla privacy intende mettere in guardia, ai fini della riservatezza delle informazioni e quindi anche di quelle di carattere personale, sull’utilizzo in ufficio, oltre che domestico, di dispositivi che, oltre ad avere funzioni di acquisizione di dati (es. stampanti multifunzione, webcam), sono anche collegati ad internet ed utilizzano sistemi di intelligenza artificiale. Tra questi ultimi vi possono essere, ad esempio, impianti di allarme (contro le intrusioni, rilevatori di fumo), lettori di badge, sistemi di trattamento dell’aria, distributori automatici e – pare si stiano divulgano anche negli uffici – robot aspirapolvere.

L’articolo si sofferma in particolare proprio sui robot aspirapolvere che dispongono di videocamere, sensori di suono, connessione con IP (per ricevere comandi da smartphone), intelligenza artificiale. Sono quindi in grado, come possibilità, di mappare la planimetria dei locali, riprodurre video, immagini e conversazioni e di trasmetterle all’esterno.

Gli elettrodomestici intelligenti svolgono una serie di servizi di indubbia utilità, ma per salvaguardare la privacy [e magari anche informazioni riservate di know how, ndr] si dovrebbero acquistare dopo una serie di verifiche relative alla privacy policy e, più in dettaglio, alle finalità di acquisizione dati, a chi sono destinati, alle modalità di trattamento e alle misure di protezione adottate.

[Si presentano due problemi: la concreta possibilità che l’informativa privacy relativa al prodotto non sia neppure disponibile; che l’esecuzione delle verifiche comporti un dispendio di tempo e competenza sproporzionato al costo del prodotto stesso. Non rimane, magari, che rivolgersi a produttori europei, che almeno sarebbeo vincolati al rispetto del GDPR – come peraltro indica l’autore stesso dell’articolo -, e comunque adeguare le verifiche o lo stesso impiego degli elettrodomestici intelligenti alle necessità di segretezza e privacy dell’azienda e del personale. Quest’ultimo dovrebbe essere anche informato dei rischi relativi alla propria privacy. Ndr]

L’adozione di misure di protezione dei dati è un obbligo anche per il responsabile esterno del trattamento

L’oggetto del breve articolo Il gestionale on-line della casa di cura non garantisce la sicurezza dei dati: sanzionato il responsabile esterno del trattamento è l’ordinanza-ingiunzione, con relativa pesante sanzione, del Garante della Privacy contro il fornitore di un servizio relativo ad un gestionale on-line per una casa di cura. La polizia postale ha rilevato un attacco hacker ed ha informato il titolare, il quale ha notificato il data breach al garante; da qui l’azione del Garante.

Il caso mette in evidenza la responsabilità che grava sul responsabile del trattamento dei dati personali, qualora non metta in atto adeguati sistemi di sicurezza (nella fattispecie l’adozione di protocolli sicuri e credenziali individuali).

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Minimizzazione dei dati personali anche nell’invio di fatture elettroniche

L’articolo Minimizzare il ricorso alla fattura elettronica è obbligatorio per evitare la sanzione per violazione del Gdpr informa che il Garante, nell’ambito del suo parere n. 454 del 22 dicembre 2021, ha affermato che l’emissione della fattura elettronica è lecito [e dovuto, ndr] solo quando previsto dalla legge o, in mancanza, quando lo chiede il consumatore finale. Fare una fattura elettronica fuori da questi casi espone quindi alle pesanti sanzioni previste dal GDPR.

[I soggetti esclusi dalla fatturazione elettronica peraltro, sono quelli per cui si applica un regime  forfettario, “di minimo” o “di vantaggio”, per operazioni con l’estero e per tutti gli operatori che offrono prestazioni sanitarie a persone fisiche private. Nel caso dei regimi forfettari e “di minimo” e nel caso delle operazioni con l’estero, le disposizioni potranno mutare nel corso del 2022. Sicuramente c’è l’obbligo di fatturazione elettronica per per le operazioni con la Pubblica Amministrazione e per le cessioni di beni e le prestazioni di servizi tra soggetti privati (partite IVA e consumatori finali) residenti, stabiliti e identificati nel territorio italiano. Ndr]

Hosting provider, informazioni all’autorità di vigilanza

L’articolo Responsabilità dell’hosting provider, anche in assenza di obbligo di sorveglianza rileva la condotta omissiva fornisce alcune informazioni relative ai doveri dei provider che ospitano dati.

Un hosting provider è un prestatore di servizi di memorizzazione di informazioni, che fornisce ospitalità a siti internet.

La legge stabilisce l’assenza di un obbligo generale di sorveglianza da parte del provider, tenendo conto dell’impossibilità, anche a causa dell’enorme quantità di contenuti gestiti, di poter effettuare un controllo preventivo o successivo su tutte le informazioni memorizzate o trasmesse. Tuttavia, ha la responsabilità di informare prontamente l’autorità giudiziaria delle attività di carattere illecito, o pregiudizievole per una terza parte, qualora ne venga a conoscenza. Ed è tenuto altresì alla rimozione immediata delle informazioni memorizzate scaturite o generanti tale attività illecita.

[Sembra che ne potrebbe derivare una contraddizione, in quanto l’immediata rimozione dei dati può significare l’impossibilità di provare l’illecito che si denuncia agli organi di vigilanza; per cui si potrebbe supporre la necessità un trasferimento dei dati in area non attiva in attesa del pronunciamento delle autorità. NdR.

Per estensione, si può pensare che le stesse regole cui è soggetto l’hosting provider possano ragionevolmente applicarsi a chi fornisce servizi di formazione o socializzazione da remoto, in cui gli utenti possono scambiarsi informazioni e documenti.]

Attenzione agli indirizzi, nell’invio di email pubblicitarie

Dell’articolo Social spam: è legittimo alla luce del Gdpr? si tralascia la parte principale relativa ai requisiti che i provider dei social devono [o più concretamente dovrebbero; ndr] rispettare secondo il GDPR nell’invio di messaggi promozionali anche nell’ambito della profilazione.

Si intende infatti qua far presente solo che in caso di utilizzo di mailing list per l’invio di informazioni commerciali, legittimate da soft spam o dal consenso esplicito degli interessati, si deve far attenzione a non commettere l’errore di lasciare nell’indirizzo principale, o in quello per conoscenza, tutti i destinatari. Ogni invio deve avere solo un destinatario diretto, gli altri potranno essere solamente in copia nascosta, in modo da non diffondere dati personali (quali sono gli stessi indirizzi email).

Attenzione a profilare gli utenti!

L’articolo La profilazione a scopo commerciale e il processo decisionale automatizzato secondo il Gdpr offre un promemoria circa le prescrizioni del GDPR in merito all’argomento in titolo.

Innanzitutto viene specificato che profilazione e decisioni automatiche non sono esattamente la stessa cosa, anche se le seconde possono discendere dalla prima.

La profilazione è (Art. 4 del GDPR) <<qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento

professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica >> [quindi è relativa all’acquisizione dei dati personali, alla loro classificazione, categorizzazione e valutazione; ndr]

Poi ci sono i processi decisionali basati sulla profilazione (ad es. con la profilazione commerciale si propongono prodotti e servizi selezionati in coerenza con comportamenti e scelte degli interessati).

Infine ci sono (Art. 22) le decisioni basate unicamente sul trattamento automatizzato, senza intervento umano, compresa la profilazione, che producono effetti giuridici (ad es. il rifiuto della concessione di un prestito) o incidono in modo analogo significativamente sull’interessato (non essere chiamati ad un colloquio di lavoro). Queste decisioni, senza il preventivo, esplicito consenso dell’interessato, sono espressamente vietate.

Anche la profilazione commerciale può ricadere nell’ambito delle decisioni puramente automatiche che si riflettono sui diritti e le libertà delle persone fisiche, in quanto la presentazione di determinati prodotti e servizi a scapito di altri influisce sulle libertà di scelta individuali.

Allora i rischi del trattamento devono essere gestiti attraverso la valutazione di impatto sulla protezione dei dati personali, quale strumento fondamentale di responsabilizzazione (accountability) [il che volgarmente significa, per il titolare, “decidi pure in autonomia, ma potresti pagarne le conseguenze”. Ndr].

Le disposizioni relative al trattamento dei dati personali dei minori

Come ricorda l’articolo Il consenso del minore tra Gdpr e normativa privacy nazionale, secondo l’Art. 8 del GDPR, il trattamento dei dati personali dei soggetti minori (la maggior età per la legge italiana è di 18 anni) da parte di una società dell’informazione, per l’offerta diretta di servizi, è ammesso quando, in alternativa

• il minore ha almeno 16 anni, ovvero l’età stabilita dal singolo stato membro purché non meno di 13 anni (14 anni per l’Italia, come stabilito dall’Art. 2 quinquies del D.Lgs. 10 agosto 2018, n. 101)
• è fornita l’autorizzazione da parte di chi esercita la responsabilità genitoriale.

Altre limitazioni di carattere generale si trasferiscono anche all’ambito dei minori. Ad esempio, per poter effettuare attività di profilazione è necessario il consenso esplicito ed informato, che dovrà quindi essere fornito direttamente dal minore, se con età superiore al limite stabilito come sopra, altrimenti dal titolare della responsabilità genitoriale. Ed, a proposito dell’informativa, questa deve essere redatta in termini che siano comprensibili al minore stesso.

L’autore esprime delle perplessità sul fatto che sia effettivamente opportuno legittimare con il diretto consenso del minore (intendendo minore di 18 anni, ma con età superiore a 14 – per l’Italia) trattamenti di profilazione, magari basate su l’incrocio di dati personali provenienti da fonti diverse. Infatti nonostante che il Working Party Art. 29 ammetta la possibilità di tale consenso, il considerando 71 del GDPR afferma, usando il condizionale, che queste decisioni “non dovrebbero applicarsi ai minori” e il considerando 38, peraltro citato dallo stesso WP 29, recita “I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia …”.

[ancora una volta, quindi, c’è carenza di disposizioni precise, ma tanto “si risolve tutto con l’accountability”. Ndr]

Gestire immagini e video nel rispetto della privacy

La raccolta, da parte di un’azienda, di fotografie o video [al di fuori delle attività di monitoraggio, ndr] che ritraggono delle persone, ciò che comporta trattamento di dati personali, è un evento piuttosto comune. Come cita l’articolo La gestione delle immagini ai fini organizzativi per il rispetto del Gdpr, può avvenire per i motivi più disparati, per es. (e senza necessariamente arrivare a chi ha lo scopo della propria attività basato proprio su tale raccolta, come per gli studi fotografici) l’utilizzo di badge o di cartellini identificativi con l’immagine dell’interessato, la ripresa di attività di lavoro ai fini documentaristici.

L’articolo fornisce un elenco di requisiti di “buona prassi” (che dovrebbero essere documentati)  per la gestione di queste immagini. Le più significative, in breve, sono:

• fornire le informative e recepire, quale liberatoria, i consensi dagli interessati
• stabilire dove salvare le immagini, i criteri di accesso, il periodo di conservazione e come distruggere poi le immagini
• considerare questo aspetto nell’analisi dei rischi e del registro del trattamento
• evitare assolutamente la diffusione delle immagini
• istruire i soggetti autorizzati al trattamento
• istruire il personale in genere, nonché i visitatori, sul divieto di ripresa, se non per documentare o dimostrare attività illecite o pericolose.

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

• Articolo Francia, sanzioni record per violazione della privacy con i cookie: 150 milioni di euro a Google e 100 milioni a Facebook. L’Autorità francese per la privacy ha sanzionato con 150 e 100 milioni di Euro Google e Facebook, rispettivamente, per non aver implementato modalità per rifiutare i cookie altrettanto semplici come quelle per accettarli. La valutazione è stata fatta in base al numero di click necessari.

[Da un lato, la considerazione che le casse dello stato francese ancora una volta si impinguano senza che agli interessati venga corrisposto alcun risarcimento e per una vicenda che -a parere personale del redattore- sembra meno grave di altre violazioni. Dall’altro, attenzione alle impostazioni per la cookie policy e raccolta dei consensi sui siti che pubblichiamo, per non incorrere in provvedimenti analoghi da parte del Garante italiano -non si sa mai. Per similitudine, anche il soddisfacimento dei diritti degli interessati (secondo i relativi e numerosi articoli del GDPR) non dovrebbe costituire un ostacolo sproporzionato per poter presentare le richieste. Ndr]

• L’Autorità Garante maltese ha sanzionato una società del settore informatico che aveva raccolto illegalmente i dati personali, inclusi dati di categoria particolare (quali le intenzioni di voto) del 98% degli elettori maltesi. Il fatto sconcertante è che il trattamento, eseguito nel totale disprezzo del GDPR, sia vento alla luce solo a causa di un data breach.

ing. Michele Lopardo

Responsabile Qualità @ Wondersys