PUBBLICITA’ E PRIVACY

Il legittimo interesse è da usare con precauzione per legittimare la pubblicità personalizzata

L’articolo Marketing & Privacy: il legittimo interesse come base giuridica della pubblicità comportamentale affronta il tema della legittimità del trattamento nel caso di pubblicità basata sul comportamento degli interessati [a seguito profilazione, quindi; ndr].

A prescindere dalla richiesta di consenso che è la via più immediata e certa per assicurare le basi giuridiche del trattamento, secondo l’autore c’è la possibilità di utilizzare il legittimo interesse del titolare; ma vanno rispettate alcune condizioni non semplici da attuare.

E’ infatti necessario dimostrare, con la verifica del bilanciamento degli interessi, che il proprio interesse nei confronti della pubblicità personalizzata è prevalente sull’interesse dell’utente. Ed è difficile paragonare il proprio interesse economico con i diritti fondamentali delle persone. Allora per controbilanciare questa carenza si dovrà agire sull’informazione e sulle misure di sicurezza per gli interessati.

L’informativa privacy deve essere quanto mai “trasparente”, deve indicare le finalità commerciali della profilazione, deve fornire la logica del trattamento che seleziona gli annunci pubblicitari. Va attuato il principio della minimizzazione dei dati. Gli interessati devono poter far valere facilmente i propri diritti sull’opposizione al trattamento e sulla cancellazione dei dati (che deve avvenire in tempi brevi). Devono poter scegliere se ricevere la pubblicità generalizzata o quella derivante dalla profilazione, la quale costituisce una limitazione delle proprie scelte. Inoltre l’informativa e l’esercizio dei propri diritti devono essere chiari, semplici e facilmente accessibili ed attuabili (con opportuni design, dashboard e caselle di controllo, nel sito web).

[Soprattutto, in assenza della richiesta di consenso, alla profilazione non devono conseguire altre decisioni automatizzate, quali, ad es. discriminazione dei prezzi, diniego di finanziamento. Ndr]

Affidarsi alla pubblicità personalizzata potrebbe essere uno svantaggio

L’articolo Con la pubblicità mirata non rischiamo solo la privacy ma anche di rimetterci soldi si riallaccia al precedente, ma da un punto di vista del consumatore. L’autore riferisce infatti di uno studio che dimostrerebbe che i prodotti della pubblicità comportamentale sono mediamente più cari del 10% ed, oltretutto, sono probabilmente di minor qualità perché relativi a fornitori meno affidabili.

Il consiglio ai consumatori è quindi quello di non affidarsi subito ai prodotti suggeriti, ma utilizzare i motori di ricerca e di consultare le recensioni.

Marketing diretto: istruzioni per l’uso

L’articolo Email marketing & Privacy: come impostare campagne promozionali conformi al GDPR integra il precedente “Marketing & Privacy: il legittimo interesse come base giuridica della pubblicità comportamentale” e riporta nel dettaglio tutti i passi che dovrebbe fare un’azienda interessata ad effettuare marketing diretto. Chi fosse interessato a queste campagne pubblicitarie dovrebbe leggere l’articolo integrale, cui si rimanda.

Qua si riporta, ritenendo utile che sia ricordato, solo il caso della cessione delle banche dati: il cedente deve informare gli interessati circa i destinatari dei loro dati e deve ottenere il consenso al trasferimento; l’acquirente deve verificare il fornitore, procurarsi i consensi ed informare, a sua volta, gli interessati [personalmente non mi è mai capitato di ricevere tali informazioni e tantomeno la richiesta di consenso! ndr].

Sono illegali gli gli ordini telefonici acquisiti senza consenso preventivo al marketing telefonico

L’articolo Marketing: da sanare i contratti conclusi senza consenso in violazione del GDPR riporta che un’ingiunzione del Garante della Privacy stabilisce che non è lecito acquisire un ordine telefonico se non c’è stato il preventivo consenso dell’utente/cliente a ricevere la telefonata.

 

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Predisporre procedure basate sulla classificazione degli incidenti per la sicurezza delle informazioni, per gestirli nel modo più efficiente

Secondo l’articolo La classificazione degli incidenti sulla sicurezza delle informazioni per intervenire in modo proattivo in caso di data breach, la strategia più efficiente per gestire un incidente sulla sicurezza delle informazioni si basa su:

  • riduzione dell’impatto,
  • efficiente elaborazione;

il tutto a fronte di un piano  di intervento:

  • definizione delle risorse necessarie (preventive e specifiche),
  • processi di rilevamento condivisi,
  • identificazione dei punti deboli dei sistemi.

La classificazione degli incidenti serve anche, in primo luogo, a differenziare gli incidenti veri e propri dagli eventi “comuni”.

Un criterio di classificazione è basato sulla gravità delle conseguenze, sia per gli interessati che per l’organizzazione. A differenti gradi di gravità potrebbero corrispondente specifiche procedure di intervento, specie in relazione alle risorse. Però questo non è sufficiente: un incidente di bassa gravità potrebbe divenire ad alta gravità se non trattato tempestivamente.

L’autore consiglia quindi di prendere in considerazione anche altri parametri:

  • chi deve essere avvisato? il titolare, il responsabile, il sub responsabile [il Garante della Privacy, gli interessati; ndr],
  • le categorie di dati coinvolte, es.: software gestionale, dati degli interessati,
  • il tipo di situazione,
  • le misure da mettere in atto.

Incrociando questi parametri con la gravità si otterrebbe una serie di diverse procedure, con l’avvertenza che al verificarsi di un incidente effettivo la relativa procedura potrebbe dover essere migliorata in base all’esperienza acquisita.

I sistemi di IA andranno classificati in base al livello di rischio

L’articolo Via libera dal Parlamento UE al nuovo regolamento sull’Intelligenza Artificiale informa che è stato approvato approvato, dal Parlamento Europeo, l’Artificial Intelligence Act, il nuovo regolamento sull’Intelligenza Artificiale. Sebbene non si tratti della versione finale della normativa, in quanto deve passare ancora dal vaglio del Consiglio Europeo, se ne illustra qua l’aspetto principale.

L’intento è garantire che i sistemi di IA utilizzati nell’UE siano sicuri, trasparenti, tracciabili e non discriminatori delle persone. Ogni sistema AI dovrà essere valutato, avendone definito preliminarmente il livello di rischio, quale “inaccettabile”, “alto”, oppure “limitato”.

Il Rischio Inaccettabile riguarda i sistemi che costituiscono una minaccia per le persone e pertanto inammissibili; ad esempio nel casi di manipolazione cognitivo-comportamentale di persone o specifici gruppi vulnerabili, o di assegnazione di un punteggio sociale attraverso la classificazione delle persone in base al comportamento, allo stato socio-economico o alle caratteristiche personali, o nell’identificazione biometrica remota e in tempo reale, come il riconoscimento facciale (salvo che per perseguire reati gravi).

Il Rischio Alto riguarda i sistemi che incidono negativamente sulla sicurezza o sui diritti fondamentali e riguardano sia prodotti in uso entro la UE (es. giocattoli, aviazione, automobili, dispositivi medici e ascensori), sia specifiche aree ben definite (identificazione biometrica e categorizzazione delle persone fisiche, gestione e funzionamento delle infrastrutture critiche, istruzione e formazione professionale, gestione dei lavoratori, servizi privati essenziali e servizi e benefici pubblici, applicazione della legge, migrazione e asilo, assistenza  nell’applicazione della legge).

Il Rischio Limitato riguarda sistemi che devono comunque rispettare requisiti minimi di trasparenza e consentire agli utenti di decidere se utilizzarli o meno.

Gli aspetti della nuova ISO 27001 che riguardano da vicino la protezione dei dati personali

L’articolo Ecco perchè la nuova Norma ISO/IEC 27001:2022 è un prezioso alleato della protezione dei dati personali sottolinea che la nuova edizione della ISO 27001 dà molto rilievo alla protezione dei dati personali, con controlli (misure preventive o di rimedio) ad essa direttamente o indirettamente pertinenti.

E’ richiesto che siano gestiti i rischi che impattano sulla riservatezza, disponibilità ed integrità delle informazioni, così come nel GDPR è richiesto che, nell’ambito del principio dell’accountability, siano identificate le vulnerabilità e le conseguenti minacce.

La 27001 prevede esplicitamente (controllo 5.34) l’applicazione delle normative cogenti e quindi anche del GDPR. Tra i controlli relativi alla privacy vi sono anche i seguenti:

– 5.33 Protection of records – Protezione delle registrazioni
– 8.10 Information deletion – Cancellazione delle informazioni
– 8.11 Data masking – Mascheratura dei dati
– 8.12 Data leakage – Perdita dei dati

L’ambito della 27001 è peraltro più ampio rispetto al GDPR: non si limita ai soli dati personali, né ai soli dati trattati entro la UE. Prende inoltre in considerazione anche le comunicazioni verbali, mentre il GDPR non ne parla.

La linea guida 27002 richiede che si dovrebbe stabilire e comunicare la politica specifica in materia di protezione dei dati personali e prevedere, comunicare ed applicare procedure mirate sulla protezione dei dati personali. Suggerisce inoltre la nomina di un “privacy officer”, che dovrebbe fornire un supporto al personale ed ad altri eventuali interessati.

La linea guida indica altre normative di riferimento sempre utili per la protezione dei dati:

– ISO/IEC 29100:2011 – Privacy framework,
– ISO/IEC 27701:2019 – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management,
– ISO/IEC 27018:2019 – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors,
– ISO/IEC 29134:2023 – Guidelines for privacy impact assessment.

Gestione di servizi critici e di servizi finanziari: da rispettare la Direttiva NIS 2 e il Regolamento DORA

L’articolo Regolamento DORA e NIS2: necessario valutare misure di sicurezza applicate dai fornitori a protezione dei dati avverte che le aziende che ricadono nel campo di applicazione della Direttiva UE 2022/2555 (“Direttiva NIS 2” entrata in vigore il 17/01/2023) e del Regolamento DORA (acronimo di Digital Operational Resilience Act) devono adempiere a determinati requisiti di gestione degli eventi informatici, per identificare, valutare e mitigare il rischio cyber.

La direttiva NIS 2 è rivolta anche alle medie imprese che erogano servizi ritenuti “critici” tra cui, a titolo esemplificativo, coloro che erogano servizi postali, di trasporto e consegna merci, servizi di gestione dei rifiuti, fabbricazione di dispositivi medici, di prodotti informatici ed elettronici o, ancora, servizi della grande distribuzione alimentare e dell’energia. La direttiva richiede quanto segue:

  • Analizzare e valutare i rischi di sicurezza dei sistemi informativi con operazioni di vulnerability assessment, penetration test, ecc.
  • Gestire gli incidenti di sicurezza informatici con un piano e un’attività di incident response
  • Dotarsi di un piano di continuità di business e gestione delle crisi
  • Testare regolarmente la sicurezza dell’infrastruttura IT e l’efficacia delle misure di gestione del rischio adottate
  • Assicurare la sicurezza delle supply chain, controllando che i propri fornitori dispongano di adeguati requisiti in termini di sicurezza.

Il regolamento DORA si applica alla quasi totalità dei soggetti che operano all’interno del mercato finanziario: non solo le banche, ma le imprese di investimento e le imprese di assicurazione, oltre agli operatori del mercato finanziario e ai loro fornitori. Il regolamento richiede quanto segue: 

  • Governance e organizzazione interna (art. 5) per garantire una gestione efficace e prudente di tutti i rischi ICT, al fine di raggiungere un elevato livello di resilienza operativa digitale; l’organo di gestione dell’ente finanziario rimane il principale responsabile della gestione complessiva dei rischi ICT.
  • Risk management (artt. 6 – 16), attraverso l’utilizzo di strumenti e sistemi di ICT resilienti, l’identificazione di tutte le fonti di rischio, l’implementazione di meccanismi in grado di rilevare attività anomale, l’adozione di procedure interne e misure di protezione e prevenzione;
  • Incident management e reporting (artt. 17 – 23), attraverso previsione e implementazione di politiche di continuità operativa e piani di ripristino in caso di disastro relativo alle ICT, disponibilità di capacità e personale idonei a rilevare vulnerabilità, minacce, incidenti e attacchi informatici e valutare le possibili conseguenze, previsione di piani di comunicazione nei confronti dei vari stakeholder.
  • Fornitori terzi di servizi ICT (artt. 28 – 44): attraverso il conferimento alle autorità di vigilanza finanziaria di specifici poteri di sorveglianza, per  mitigare i rischi derivanti dalla dipendenza delle entità finanziarie da fornitori terzi di servizi.

Direttiva NIS 2 e Regolamento DORA hanno punti in comune tra loro e con il Regolamento GDPR:

  • modello organizzativo, con definizione di ruoli e responsabilità, e policy per la sicurezza delle informazioni,
  • approccio basato sul rischio,
  • gestione degli incidenti: identificazione, analisi delle cause, valutazione di eventuali azioni correttive,
  • valutazione di fornitori e soggetti esterni della supply-chain ai fini della sicurezza dei dati.

Da ciò può derivare l’opportunità di una gestione integrata.

Violazione dei dati da parte dei riparatori di PC: più probabile di quanto non si creda

Già più volte è stato suggerito di eliminare o criptare tutti i dati personali o comunque confidenziali prima di consegnare il proprio PC all’assistenza per riparazioni o installazioni. L’articolo Se dovete lasciare il pc all’assistenza meglio non fidarsi e prendere precauzioni per proteggere la vostra privacy rende noto che, secondo un’indagine di un’università canadese, ben il 37,5% dei tecnici informatici che prendono in carico un computer per ripararlo sbirciano tra i files e i dati personali dei clienti, e a volte li copiano pure sui propri dispositivi esterni (12,5%).

Una vittima illustre è stato il figlio dell’attuale presidente degli Stati Uniti, Joe Biden.

L’autore, quindi, sottolineando che è bene non fidarsi, invita, in alternativa ad un backup e cancellazione generale del disco, ad utilizzare allo scopo una cartella, accessibile solo attraverso una password, per tutti i dati riservati (a partire da eventuali memorizzazioni di credenziali di accesso). O ancor meglio, utilizzare una partizione nascosta dell’hard disk abilitando la crittografia attraverso lo strumento “Gestione BitLocker” (per S.O. Windows).

L’Intelligenza Artificiale per mitigare i rischi dell’Intelligenza Artificiale

Secondo la definizione data dall’articolo Privacy & Intelligenza Artificiale: XAI, un metodo per mitigare i rischi sui dati personali?, L’XAI (eXplainable Artificial Intelligence), o “IA spiegabile”,  è un insieme di metodi e processi di IA che consentono agli utenti di comprendere e considerare attendibili i risultati e l’output creati dagli algoritmi di machine learning.

L’XAI è progettata per fornire trasparenza e capacità di spiegazione, nel processo decisionale dei sistemi di Intelligenza Artificiale rendendo questi sistemi sempre più trasparenti. Può aiutare le organizzazioni a identificare i potenziali rischi per la privacy dei dati e ad adottare le misure necessarie per mitigarli, rilevando attività sospette o di cambiamenti nei modelli di dati in sistemi di IA “corrotti”, minimizzando i possibili “data breach” e aiutando a rilevare potenziali violazioni dei dati dei clienti. Inoltre, la XAI può essere utilizzata per identificare eventuali errori nei sistemi di IA.

 

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Sarebbero più limitati i casi di obbligo dell’informativa prevista dal Decreto Trasparenza

L’articolo Algoritmi, informative ai lavoratori limitate da automazione e segreto industriale anticipa che Il “Decreto Lavoro” (D-L-48/2023), all’approvazione del senato, modificherebbe due aspetti del precedente Decreto Trasparenza.

Da un lato si chiarisce che l’obbligo di informazione, a dipendenti e sindacati, sull’uso di sistemi decisionali o di monitoraggio sussiste solo in caso di automazione integrale.

Dall’altro si esclude la comunicazione se costituisce violazione di un segreto industriale o commerciale, anche in presenza di processo decisionale integralmente automatico.

Il GDPR prevede comunque per gli interessati il diritto di conoscere l’esistenza di un processo decisionale automatizzato e le informazioni significative sulla logica utilizzata, sull’importanza e sulle conseguenze previste. Quindi il datore di lavoro dovrà fornire ai lavoratori anche queste informazioni accessorie, almeno grandi linee.

L’articolo riporta degli esempi pratici.

Ricorre l’obbligo di informativa nei casi di:

  • software di selezione del personale, valutazione dei c.v., elaborazione delle conversazioni, rielaborazione sulla base di parametri (quale il voto di laurea) dei dati dei candidati;
  • sistema di geolocalizzazione «uomo a terra», per segnalazioni o interventi automatici in caso di pericolo, dato che non è previsto intervento umano.

Non ricorre l’obbligo di informativa nei casi di:

  • rilevazione delle presenze in ingresso e in uscita dei lavoratori, dato che non si tratta di una attività finalizzata a una decisione;
  • valutare automatizzata dell’afflusso periodico di clienti, in un centro commerciale, con utilizzo dei dati per la programmazione dei turni di lavoro del personale, purché la decisione richieda l’intervento umano.

Controlli a difesa del patrimonio aziendale: la legislazione

Prescindendo dal caso particolare del licenziamento (giudicato ingiustificato poiché a seguito del controllo indiscriminato delle sue email) di un dipendente di banca, l’articolo Il controllo sulla posta elettronica aziendale deve rispettare i diritti del lavoratore enuclea gli articoli di legge e le sentenze cui far riferimento in caso sia necessario tutelare la proprietà dell’azienda attraverso un monitoraggio.

La specificità delle citazioni impone di riportare le seguenti parti integralmente.

<<<La Corte richiama innanzitutto la distinzione tra i controlli a difesa del patrimonio aziendale che riguardano tutti i lavoratori e che devono essere realizzati nel rispetto dell’art. 4 Statuto dei Lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro) e i controlli anche tecnologici diretti ad accertare specificamente condotte illecite ascrivibili – in base a concreti indizi – a singoli dipendenti (c.d. “controlli difensivi in senso stretto” ) che sono “all’esterno del perimetro applicativo dell’art. 4” dello Statuto dei Lavoratori e non richiedono il preventivo accordo sindacale o l’autorizzazione dell’ispettorato del lavoro.

Per quanto riguarda i controlli difensivi in senso stretto i giudici di legittimità ribadiscono che gli stessi sono consentiti solo “in presenza di un fondato sospetto circa la commissione di un illecito, purché sia assicurato un corretto bilanciamento tra le esigenze di protezione di interessi e beni aziendali, correlate alla libertà di iniziativa economica, rispetto alle imprescindibili tutele della dignità e della riservatezza del lavoratore, sempre che il controllo riguardi dati acquisiti successivamente all’insorgere del sospetto”.

Il controllo deve, quindi, essere “mirato” sul singolo lavoratore ed “attuato ex post”, ossia a seguito del comportamento illecito del lavoratore, in quanto “solo a partire da quel momento il datore può provvedere alla raccolta di informazioni utilizzabili … non essendo possibile l’esame e l’analisi di informazioni precedentemente assunte in violazione delle prescrizioni di cui all’art.4 St. lav.”.

La Corte sottolinea, poi, che anche in virtù del principio di vicinanza della prova, l’onere probatorio spetta al datore di lavoro, il quale deve “allegare prima e provare poi le specifiche circostanze che lo hanno indotto ad attivare il controllo tecnologico ex post, considerato che solo tale “fondato sospetto” consente al datore di lavoro di porre la sua azione al di fuori del perimetro di applicazione diretta dell’art. 4”.

Nello specifico, deve trattarsi di “indizi, materiali e riconoscibili, non espressione di un puro convincimento soggettivo, idonei a concretare il fondato sospetto della commissione di comportamenti illeciti.”

Quanto alla nozione di “fondato sospetto”, la Corte cita alcuni riferimenti utili alla sua definizione ed in particolare la giurisprudenza della Corte EDU secondo cui “l’esistenza di un ragionevole sospetto circa la commissione di illeciti”, mentre “non è accettabile la posizione secondo cui anche il minimo sospetto di appropriazione illecita possa autorizzare l’installazione di strumenti occulti di videosorveglianza”. >>>

 

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Un’interessante e concisa esposizione del da farsi in caso di data breach

Si cita l’articolo Data breach: pianificare per prevenire il ‘panico d’organizzazione’ per riportare il link al video “Privacy Day Forum 2023: lo speech di Stefano Gazzella sul Data Breach”, in cui il relatore illustra in modo chiaro, vivace e sintetico (ca. 26 minuti), e ciò nonostante esaustivo, quanto occorre sapere, fare ed anche non fare quando si incorre in una violazione dei dati personali.

I ruoli per gestire la privacy nella scuola

Qualora vi fossero dubbi, l’articolo Scuola & Privacy: i ruoli del personale vanno messi nero su bianco in appositi documenti ricorda che il titolare del trattamento è la scuola, come entità giuridica. Il dirigente scolastico, considerato che è il legale rappresentante dell’ente, assume le decisioni sui trattamenti. I dipendenti amministrativi e i docenti devono essere autorizzati al trattamento. Gli interessati del settore scolastico possono trovare ulteriori informazioni e delucidazioni nel vademecum «Scuola a prova di privacy» predisposto dal Garante della Privacy.

Un’indicazione, per quanto possibile quantitativa, ai Garanti della privacy per la determinazione degli importi delle sanzioni amministrative per violazioni del GDPR

Numerosi articoli, nel passato, lamentavano la mancanza di una base comune di criteri per la determinazione oggettiva delle sanzioni in materia di violazioni della privacy. Secondo l’articolo Dall’European Data Protection Board le Linee Guida 04/2022 con l’obiettivo di armonizzare le sanzioni per le violazioni del Gdpr, il problema è superato dall’adozione, in area UE, delle Guidelines 04/2022 on the calculation of administrative fines under the GDPR Queste linee guida sono complementari alle Guidelines on the application and setting of administrative fines (wp253).

In riferimento al GDPR, le sanzioni pecuniarie sono solo un possibile strumento a disposizione dell’autorità garante, oltre alla richiesta di interventi di informazione, mitigazione, correzioni, fino all’interruzione del trattamento. Inoltre, è chiaramente affermato che le sanzioni amministrative devono essere “effettive, proporzionate e dissuasive”

Vengono forniti i criteri per la valutazione dell’importo delle sanzioni, ma non potrà trattarsi di criteri matematici per un calcolo preciso. I criteri sono applicabili anche alle P.A., ma con taluni distinguo e sempre con l’autonomia di applicabilità lasciata ai singoli stati membri.

Viene espresso che una definizione monetaria potrebbe tener conto dei rischi di carattere operativo e di impatto economico per il titolare del trattamento, se considerati nella valutazione di impatto per le persone, conseguente ad una violazione dei dati personali.

La metodologia si articola nelle seguenti 5 fasi.

  1. valutare se vi siano più condotte sanzionabili, a seguito di più violazioni del GDPR.
  2. valutare il livello della violazione, per natura, gravità e durata; carattere colposo o doloso; categorie di dati personali interessati, limitando gli importi al 10, 20 e 100% per gravità rispettivamente lieve, media ed elevata. Considerare inoltre 7 livelli di fatturato, per applicare abbattimenti della sanzione base fra lo 0,2 e lo 0,4 % per fatturati entro 2 milioni di euro, sino a nessun abbattimento per fatturati fino a 500 milioni di euro.
  3. valutare se vi sono aggravanti o attenuanti [per es. la reiterazione della violazione, oppure, viceversa, la spontanea ed efficace attuazione di interventi correttivi; ndr].
  4. determinare i massimali previsti da GDPR, di 10 o 20 milioni di euro, o se superiori il 2 e 4 % del fatturato [Art. 83, paragrafi 4 e 5, rispettivamente; ndr].
  5. verificare se l’importo calcolato soddisfa i requisiti di effettività, proporzionalità e dissuasione; laddove per “proporzionalità” si fa riferimento alla sostenibilità della sanzione per il soggetto interessato in relazione al contesto socioeconomico.

L’autore, quindi, volendo fornire un’indicazione pratica delle possibili sanzioni, dà questi esempi:

– infrazioni di lieve gravità: 0 euro;
– infrazioni di media gravità: da 1 a 2 milioni per i soggetti pubblici; da 2.000 a 4.000 euro per le imprese con fatturato fino a 2 milioni di euro;
– infrazioni di gravità elevata: da 2 a 4 milioni di euro per i soggetti pubblici; da 4.000 a 8.000 euro per le imprese con fatturato fino a 2 milioni di euro.

[Se veramente fossero queste le sanzioni applicate, un’azienda privata con fatturato entro 2 milioni di euro, rischia di spendere di più per farsi assistere da un legale e da un DPO nella controversia, rispetto all’entità della sanzione].

L’articolo termina mettendo in guardia chi pensasse di violare scientemente a proprio favore il GDPR accettando il rischio della sanzione, poiché, se scoperto, si applicherebbero i massimi legali della sanzione, affinché questa fosse efficace e dissuasiva.

Un file Execl per verificare la conformità al GDPR di un trattamento di dati personali

L’articolo Rilasciata la Data Processing Assessment Check List scaricabile gratuitamente dal sito di Inveo group annuncia che il gruppo INVEO ha messo a disposizione gratuitamente (previa iscrizione alle loro newsletter) uno strumento (“Data-Processing-Assessment-Checklist.xlsx”, scaricabile dal sito www.in-veo.com) per effettuare un audit preliminare per la progettazione di un trattamento di dati personali in conformità con il GDPR.

Il gruppo INVEO è noto per aver concepito lo schema di certificazione di valutazione alla conformità GDPR “ISDP©10003″.

Trattamento dati personali effettuato da privati

[Il GDPR, come specificato nell’Art. 2, non si applica ai trattamenti di dati personali “effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico”, ma questo non deve affatto far ritenere che a livello privato non vi siano limitazioni: Ndr]. L’articolo Anche al privato è inibita l’arbitraria diffusione dei dati personali di terzi, infatti, espone un caso da cui si rileva che il trattamento dei dati personali sensibili senza il consenso dell’interessato, dal quale derivi nocumento per la persona offesa, è punito ai sensi del codice penale.

La comunicazione dei dati del DPO

Il GDPR prevede esplicitamente l’obbligo di comunicare all’Autorità garante della privacy i riferimenti dell’eventuale Responsabile della protezione dei dati personali; appare quindi evidente che tale obbligo sussista anche nel caso in cui il DPO venga sostituito [Ndr]. Maggiori dettagli nell’articoloLa mancata comunicazione della variazione del DPO al Garante della Privacy comporta una sanzione amministrativa.

Trasferimenti dei dati da UE a USA: ancora problemi?

L’articolo Trasferimento dati Ue-Usa, Parlamento europeo contrario all’adozione del Data Privacy Framework ripercorre le alternate tappe relative al trasferimento dei dati personali negli USA, dall’ UE-US- Privacy Shield che consentiva tale trasferimento, alla invalidazione con sentenza Schrems II emessa dalla Corte di giustizia dell’Unione europea [già la sentenza Schrems I aveva invalidato il precedente trattato Safe Harbour; ndr].

Con il recente Data Privacy Framework si è cercato di superare i punti controversi dei precedenti accordi, in particolare per la limitazione all’accesso dell’intelligence statunitense ai dati europei a quanto necessario e proporzionato per proteggere la sicurezza nazionale e per l’istituzione di un nuovo meccanismo di ricorso, dotato di autorità indipendente e poteri vincolanti, che garantirebbe ai cittadini europei le stesse tutele di cui dispongono quelli statunitensi.

Tuttavia, il Parlamento europeo ha espresso parere negativo rispetto al progetto di decisione di adeguatezza del Data Privacy Framework, ritenendo che gli Stati Uniti non garantiscano ancora un livello di protezione sostanzialmente equivalente a quello richiesto dal diritto dell’UE.

[Vedremo invece, in un successivo articolo del mese di luglio, che la Commissione Europea ha poi ufficialmente approvato il “EU-US Data Privacy Framework; ndr].

 

IN BREVE, DALL’ITALIA E DAL MONDO

Il punto sulla privacy dall’entrata in vigore del GDPR

L’articolo In 5 anni di GDPR 5 miliardi di euro di sanzioni, ma la privacy è ancora una sfida aperta fa il punto sulla situazione della privacy ad oggi, riportando indagini statistiche che non mostrano un quadro molto positivo, nonostante che in cinque anni siano stati inflitti 5 miliardi di € di sanzioni.

Lo sviluppo tecnologico ha reso più complesso il rispetto della privacy basato sulla responsabilizzazione (accountability) del titolare del trattamento.

Molti lavoratori dichiarano un impatto negativo sulla loro salute a causa della videosorveglianza.

I sistemi di decisioni automatizzate, specie se potenziati con l’intelligenza artificiale, hanno impatti anche forti sui diritti e le libertà individuali.

Spesso si fa fatica a capire come i propri dati siano trattati e categorie svantaggiate di utenti quasi mai hanno l’ausilio, navigando nei siti, di modalità informative agevolate (video, audio, icone).

Diverse piattaforme online fanno uso dei dark pattern per ingannare gli utenti “pilotando” le loro decisioni.

Gli attacchi informatici sono in continuo aumento.

Nonostante l’espansione della realtà digitale, sembra in crescita il numero di cittadini che ne saranno esclusi, senza neppur essere considerati “discriminati”.

La sfida per l’Intelligenza Artificiale: renderla più umana (nel bene)

Secondo l’articolo Intelligenza Artificiale, necessario riflettere sulla natura delle decisioni algoritmiche affinché siano a vantaggio dell’uomo e non gli si ritorcano contro è un dato di fatto che di fronte all’enorme disponibilità di dati e all’accresciuta capacità di calcolo, le decisioni automatizzate tramite Intelligenza Artificiale saranno sempre di più. Il rischio di decisioni discriminatorie e secondo modelli convenzionali, che non tengono conto delle esigenze dell’individuo, è alto.

Secondo l’autore dell’articolo, non basta l’attribuzione di responsabilità giuridiche agli sviluppatori degli algoritmi: è necessario uno sforzo per aggiungere alla logica degli algoritmi la capacità di essere giusti ed equi.

Un metodo per individuare l’IP anche di chi naviga nel web attraverso reti Darknet

L’articolo Anonimato nel Dark Web: scoperto un modo per rilevare gli indirizzi IP dei server si riferisce  a servizi come Tor, che garantirebbero l’anonimato impedendo il tracciamento online dell’utente.

E’ stato scoperto che l’intestazione HTTP nota come Etag (identificatore univoco generato dal server quando un client richiede una risorsa per verificare l’utilizzazione della cache velocizzando i download) può contenere informazioni sul server, inclusi indirizzo IP, ora o hash.

L’Etag può quindi essere utilizzato dalle forze dell’ordine per identificare autori di attività cyber illegali.

Il rovescio della medaglia è che ci sono modi per disabilitare l’Etag sul server o utilizzare un proxy per modificare l’Etag in transito [modalità sicuramente note ai cybercriminali; ndr].

Attenzione ai siti web “travestiti” da operatori turistici

L’articolo Booking online, attenzione ai siti fake con cui gli hacker mirano a rubarvi soldi e dati personali avverte che sono stati individuati siti web praticamente identici a quelli di noti operatori del settore turistico come Airbnb.com e Booking.com, mentre si trattava di imitazioni fatte ad arte da criminali informatici. L’articolo invita a prestare la massima attenzione perché il 30% di chi cerca offerte online per le vacanze è vittima di truffe.

Viene suggerito di controllare bene l’indirizzo del sito; deve iniziare per https e deve avere la corretta denominazione. Ma anche così non vi è certezza perché a volte sono utilizzati caratteri cirillici, identici come grafia a quelli occidentali, ma in realtà con diverso Unicode e pertanto corrispondenti ad altro dominio. E’ possibile fare un controllo incollando l’url su strumenti di verifica online come www.scamadviser.com oppure www.getsafeonline.org.

Ulteriori consigli all’articolo Prenotazioni vacanze online: 10 consigli evitare brutte sorprese.

 

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Ancora violazioni del GDPR relative a sistemi di videosorveglianza: H&M sanzionata per 50 milioni di euro a causa dei sistemi di videosorveglianza installati nei propri punti vendita.
  • Il Garante della Privacy svedese ha inflitto a Spotify una sanzione di circa 5 milioni di euro per non aver rispettato il diritto di accesso ai dati da parte degli utenti.
  • Ancora sanzioni del Garante per telemarketing selvaggio: spicca quella milionaria a TIM. I motivi: una non adeguata sorveglianza sui call center estranei alla sua rete ufficiale, riscontri talora inadeguati alle richieste di esercizio dei diritti degli interessati e l’erronea pubblicazione di dati personali nei pubblici elenchi telefonici senza il consenso degli interessati.
  • Profilazione senza consenso: maxi multa di 40 milioni di euro applicata ad una società di marketing dal Garante francese.
  • Multa a Volkswagen Leasing: la finanziaria non può rifiutarsi di comunicare al cliente anche le informazioni sulla sua affidabilità creditizia che hanno condotto al diniego del finanziamento richiesto.

ing. Michele Lopardo

Responsabile Qualità @ Wondersys