PUBBLICITA’ E PRIVACY

E’ partito il Registro Pubblico delle Opposizioni: sarà davvero efficace?

Secondo l’articolo Marketing: stop a chiamate sui cellulari e invio pubblicità per posta cartacea con il nuovo Registro delle Opposizioni I cittadini possono esprimere il proprio diritto di opposizione al marketing, per non ricevere più chiamate promozionali sul cellulare da parte dei call center o materiale pubblicitario tramite posta cartacea, iscrivendosi al Registro Pubblico delle Opposizioni. Si impedisce così alle società di marketing di effettuare chiamate commerciali non solo sui numeri dei telefoni fissi presenti negli elenchi telefonici pubblici, ma anche sui telefoni cellulari, nonché di effettuare invio di materiale pubblicitario. Altrimenti l’utente potrà rivolgersi al Garante della Privacy per fare un reclamo o potrà fare una segnalazione all’Autorità.

Tuttavia ciò decade se è l’utente stesso ad aver espresso il proprio consenso.

[Prima di festeggiare per liberazione da una sequenza giornaliera di fastidiose e assillanti chiamate pubblicitarie, sorgerebbero alcune considerazioni:

  1. perché ci si deve iscrivere per non essere disturbati? semmai dovrebbe essere il contrario: se mi iscrivo i miei dati sui pubblici elenchi possono essere utilizzati, altrimenti no; del resto una volta, all’atto del contratto con la compagnia della telefonia fissa, già si selezionava l’opzione per ricevere o meno chiamate telefoniche e/o posta in cassetta (scelta che nessuno ha fatto rispettare)
  2. come si recede da un consenso prestato, magari distrattamente (o magari forzatamente, o neppure dato)? Se si tratta di email, un link a piè pagina dovrebbe consentirlo, ma capita spesso che
    • la procedura sia complessa
    • all’accesso alla pagina web interessata, il nostro antivirus ci sconsigli dal proseguire perché giudica il sito pericoloso
    • il link non funzioni
    • se si rinuncia alla pubblicità di terze parti, non si ricevono più neppure le informazioni ordinarie da parte della società con cui abbiamo un rapporto contrattuale

Se si tratta di una telefonata capita che

  • se la pubblicità è telefonica ed automatica, non è possibile chiedere all’operatore di cancellarci dagli elenchi
  • il numero chiamante sia nascosto o non possa ricevere chiamate, per cui non è possibile esercitare il diritto di cancellazione
  1. il Garante non potrebbe attivare Guardia di Finanza e Polizia Postale per risolvere questi problemi?

NdR]

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

La norma ISO 27001 offre dettagliate indicazioni per la gestione dei supporti di memorizzazione, ai fini della sicurezza delle informazioni

L’articolo La gestione dei supporti di memorizzazione: le indicazioni dalla Linea Guida ISO/IEC 27002:2022  informa che numerosi “controlli” [provvedimenti atti a ridurre i rischi per la sicurezza delle informazioni, ndr] riportati nella norma ISO 27001 riguardano la gestione dei supporti contenenti dati.

La più recente ISO 27002:2002 affronta tale tema nel controllo 7.10 “Storage Media” – Supporti di memorizzazione. Questi supporti non sono solo quelli elettronici (es. HD, dischi esterni, nastri di back-up, supporti contenenti dati biometrici), ma anche quelli cartacei o di qualsiasi altro tipo. Tale controllo è di tipo preventivo, riguarda gli aspetti dell’integrità, disponibilità e sicurezza dei dati,

La gestione dei supporti di memorizzazione, adeguata al livello di classificazione delle informazioni in essi contenute, riguarda tutto il loro ciclo di vita, dall’acquisizione, all’utilizzo, al trasporto e allo smaltimento, ed è relativa alle funzionalità operative di gestione degli asset e sicurezza fisica. Il presente articolo si limita a trattare la gestione dei dispositivi contenenti dati, senza esaminare la fase di riutilizzo dei dispositivi stessi o la loro distruzione.

L’autrice dell’articolo ha predisposto una tabella che elenca tutti i punti espressi dalla ISO 27002, integrata dalle proprie osservazioni, riportata integralmente nell’articolo al link sopra.

Nel caso in cui si trasferisca un supporto fisico contenente dati, si devono applicare anche le misure di cui al controllo 5.14 “Information transfer” – Trasferimento di informazioni.

[E’ opportuno che le indicazioni contenute nella tabella soprastante siano applicate nella misura in cui risultano effettivamente utili e pertinenti alla sicurezza delle informazioni, in relazione all’utilizzo effettivo dei dispositivi e alla importanza delle informazioni, nel bilanciamento costi – benefici; ndr]

La dismissione dei supporti di memorizzazione, sempre secondo ISO 27001

[L’ articolo La dismissione dei supporti contenenti dati personali: indicazioni dalla Linea Guida ISO/IEC 27002:2022 fa seguito al precedente “La gestione dei supporti di memorizzazione: le indicazioni dalla Linea Guida ISO/IEC 27002:2022“, in cui l’argomento della dismissione dei supporti di memorizzazione era stato tralasciato. Ndr]

Lo smaltimento dei supporti di memorizzazione, che deve avvenire in modo sicuro attraverso l’utilizzo di procedure formali, di cui ad uno dei controlli della ISO 27001 è trattato in maniera più aggiornata dal controllo 7.10 “Storage media” della ISO 27002:2022. L’applicazione dei provvedimenti riportati con questo controllo è particolarmente importante quando i supporti, elettronici o cartacei, contengono dati personali. Il ciclo di vita dei supporti, che culmina nel loro smaltimento, deve tener conto del livello di classificazione delle informazioni che vi sono contenute (controllo 5.12 “Classification of information”).

Lo scopo del controllo 7.10 è quello di garantire la divulgazione, la modifica, la rimozione o la distruzione, sulla base delle autorizzazioni delle informazioni circa l’archiviazione su tali supporti.

Gli elementi da considerare, affinché le procedure che devono essere emesse siano congruenti con il livello di classificazione delle informazioni contenute, sono riportate nella tabella che l’autrice dell’articolo ha già pubblicato nell’articolo precedente [di cui sopra].

La distruzione di un supporto non necessariamente implica la distruzione dei dati, che potrebbero essere migrati su altri supporti (ad esempio i dati su un cartaceo potrebbero essere digitalizzati). La cancellazione dei dati non più necessari è trattata nel controllo 8.10 “Information deletion” della ISO 27002.

Il controllo 7.14 “Secure disposal or re-use of equipment” affronta invece il tema della verifica delle apparecchiature che contengono supporti di memorizzazione, in modo da garantire che “…eventuali dati sensibili ed il software concesso in licenza siano stati rimossi o sovrascritti in modo sicuro prima dello smaltimento o del riutilizzo”. Questo controllo richiama lo stesso 7.10, avendo diversi punti in comune.

Nell’applicazione dei suddetti controlli si dovrà tener conto di misure contro le possibili perdite di dati (ad esempio ad effetto di una migrazione di dati non completamente riuscita).

 

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Anche le piattaforme digitali sono tenute al rispetto dei requisiti relativi ai trattamenti automatizzati

L’articolo Trasparenza degli algoritmi tra Gdpr e Proposta di Direttiva UE sul miglioramento delle condizioni nel lavoro mediante piattaforme digitali informa che il Parlamento ed il Consiglio europeo hanno emesso una proposta tesa al miglioramento delle condizioni di lavoro nel lavoro mediante piattaforme digitali (ad esempio quelle che gestiscono il lavoro dei ciclo-fattorini).

In relazione alla protezione dei dati personali, viene ribadito il diritto alla trasparenza per quanto riguarda l’uso e il funzionamento dei sistemi decisionali e di monitoraggio automatizzati, allineandosi con ciò ai requisiti del GDPR. In particolare, relativamente ai sistemi decisionali automatizzati, le informazioni da fornire agli interessati devono riguardare i principali parametri utilizzati dai sistemi decisionali automatizzati, nonché i motivi sottesi alle decisioni da essi assunte.

Queste informazioni devono essere aggiornate ad ogni modifica dei criteri decisionali e devono essere fornite anche a seguito di richiesta da parte degli interessati.

Le piattaforme di lavoro digitali non devono trattare dati personali relativi ai lavoratori delle piattaforme digitali che non siano intrinsecamente connessi e strettamente necessari all’esecuzione del contratto.

Inoltre, i lavoratori delle piattaforme digitali hanno il diritto di ottenere dalla piattaforma il riesame umano di decisioni che incidono significativamente sulle loro condizioni di lavoro, nonché una motivazione scritta di tali decisioni.

Liceità della diffusione delle registrazioni video degli esami

L’autore dell’articolo Il pretesto del rispetto della privacy di altri studenti ripresi non esenta dal diritto di accesso alla registrazione video di un esame riferisce che il Garante finlandese ha ordinato a una università di consegnare all’interessato una registrazione video di un esame, nonostante nel video risultassero altri studenti. Una decisione applicabile anche in Italia.

E’ necessario sempre bilanciare gli interessi contrastanti, considerando le circostanze dei singoli casi e la probabilità e la gravità dei rischi. Nel caso in questione non è stato dimostrato come il rilascio della versione integrale ed in chiaro della registrazione video avrebbe potuto danneggiare gli altri studenti, rispetto al diritto legittimo dell’interessato.

L’autore dell’articolo aggiunge che andrebbe presa in considerazione la possibilità di usare misure tecniche come l’anonimizzazione del volto delle altre persone [tuttavia si ha l’impressione di voler complicare le cose in nome della privacy e quasi cadere nel ridicolo; perché non mascherare anche la voce? ndr]

 

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

La norma ISO 27001 contribuisce al rispetto del GDPR, ma da sola non basta

L’articolo Le relazioni tra Gdpr e la Norma ISO/IEC 27001 mette a confronto il Regolamento europeo sulla protezione dei dati personali, con la norma internazionale per la sicurezza delle informazioni.

Il GDPR richiede l’adozione di misure tecniche e organizzative adeguate, tra cui anche politiche e procedure, per la protezione dei dati personali. La norma ISO/IEC 27001 fornisce una serie di requisiti, tra cui politica e analisi del rischio, per la sicurezza relativa all’integrità, disponibilità e riservatezza delle informazioni.

L’articolo si propone di evidenziare i punti in comune tra GDPR e 27001 e quelli invece in cui si differenziano.

Un sistema di gestione basato sulla 27001 implica:

  • l’impegno della Direzione affinché tutte le attività aziendali siano orientate alla sicurezza dei dati e con le risorse necessarie,
  • che sia tenuto conto del contesto in cui opera l’organizzazione,
  • che il piano per la sicurezza delle informazioni sia basato sia sui processi, che sulla consapevolezza delle persone,
  • che sia adottato un insieme organico di “controlli” [più in generale “provvedimenti”, ndr] finalizzati alla sicurezza delle informazioni.

Tutti questi elementi corrispondono ad altrettante misure di accountability [responsabilizzazione, ndr] previste dal GDPR. L’art. 32 del GDPR “Sicurezza del trattamento “, al paragrafo 2 richiede “…Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”; ciò corrisponde alle misure per garantire integrità, disponibilità e riservatezza dei dati, come da norma 27001.

La 27001, quale norma, consente alle organizzazioni, che ritengono di rispettarne i requisiti, di sottoporsi ad audit di certificazione, sebbene questa non corrisponda alla certificazione di cui all’Art. 42 del GDPR [dato che questo prevede ulteriori requisiti, oltre a quelli di protezione dei dati; ndr].

Il GDPR in genere non specifica nel dettaglio quali siano le misure da prendere e come vadano messe in pratica. A questo sopperiscono i “controlli” della ISO/IEC 27002 [i “controlli” elencati nella 27001 possono infatti considerati superati (questa norma è del 2013) e sostituiti da quelli della 27002, che è del 2022. Ndr].

Alle lacune della 27001 rispetto alla totalità dei requisiti del GDPR (la 27001 è stata pubblicata diversi anni prima dell’emissione del Regolamento Europeo per la protezione dei dati personali) sopperisce la ISO/IEC 27701:2019 “Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”. [La 27701 richiede come prerequisito l’adozione della 27001 e, comunque, anch’essa non garantisce completamente il rispetto del GDPR; ndr].

In conclusione un sistema di gestione che preveda anche la certificazione ISO 27001 è una prima dimostrazione di accountability anche nei confronti  dei dati personali ed un’eventuale adesione anche alla ISO 27701 è un ulteriore passo in avanti; tuttavia, in tutti i casi, il rispetto pieno del GDPR implica che si verifichi il soddisfacimento di tutti i requisiti in esso previsti, pur nelle modalità operative richiesta dall’una e/o dall’altra norma, quando contemplate.

I tentativi di Google di legittimare i Google Analytics non sono sufficienti

Secondo l’articolo La funzione di ‘anonimizzazione’ dell’indirizzo IP non risolve i problemi di privacy di Google Analytics, non hanno sortito l’effetto sperato i tentativi di Google di superare l’empasse relativo alla dichiarazione di diverse autorità nazionali sull’illegalità, rispetto al GDPR, dei Google Analytics a causa del trasferimento dei dati personali (come l’IP) in paesi non considerati adeguati (ed essendo stato da tempo invalidato l’US-EU Privacy Shield).

Non è servita la nomina di Google Ireland Limited quale responsabile del trattamento, sulla base dei “Google Analytics Terms of Service” e dei “Google Ads Data Processing Terms”, dal momento che può avvalersi di altri soggetti, in qualità di sub-responsabili del trattamento, fra cui Google LLC (con sede negli Stati Uniti).

I dati personali trattati sono: identificatori online unici che consentono l’identificazione sia del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web. Se, poi, il visitatore del sito web fa accesso al proprio account Google, i dati sopra indicati possono essere associati ad altre informazioni presenti nel relativo account, quali l’indirizzo email (che costituisce l’user ID dell’account), il numero di telefono ed eventuali ulteriori dati personali tra cui il genere, la data di nascita o l’immagine del profilo.

Di conseguenza, la funzione denominata “IP-Anonymization” (una forma di pseudonimizzazione) che comporta l’invio a Google Analytics dell’indirizzo IP dell’utente previo oscuramento dell’ottetto meno significativo non impedisce a Google LLC di re-identificare l’utente medesimo e dunque anche questo provvedimento non risolve il problema.

Sia La Commissione europea che la Corte di Giustizia hanno ribadito che il titolare del trattamento, e, in questo caso, il titolare dei siti web, se consente il trasferimento dei dati degli utenti presso paesi ai quali manchi la decisione di adeguatezza al GDPR, pur in presenza di clausole contrattuali tipo per il trasferimento di dati personali a responsabili stabiliti in paesi terzi, deve aver preventivamente verificato che la legge o la prassi di questi paesi non incidano sull’efficacia delle garanzie adeguate contenute nelle clausole stesse. [Ciò si traduce probabilmente nell’impossibilità attuale di utilizzare i Google Analytics in modo legittimo. Ndr]

Data-breach o insider thread? Anche gli incaricati al trattamento possono generare violazioni dei dati personali

Secondo l’ultima Relazione annuale del Garante per la Privacy, cui si riferisce l’articolo È boom di data breach notificati al Garante della Privacy, ma i nemici più pericolosi non sono sempre gli hacker, sono stati notificati quasi 6 data-breach al giorno, con un incremento del 50% rispetto all’anno precedente.

Il termine data-breach ci fa pensare subito ad attacchi hacker o comunque a problemi di natura tecnica informatica, tuttavia molte violazioni dei dati personali sono conseguenza di errore umano (“insider threat”), per incompetenza o superficialità. Tra i data-breach, moltissimi riguardano l’ambito sanitario e il caso tipico è costituito dall’invio dei dati sulla salute a pazienti errati [diffusione non autorizzata di dati personali particolari; ndr], oppure dalla perdita di documenti relativi ad esami clinici [indisponibilità dei dati, ndr].

La conclusione dell’autore dell’articolo è la necessità di predisporre e mantenere un complesso di procedure per gestire i dati in modo effettivamente efficace, e soprattutto di creare consapevolezza e una vera cultura della privacy. Quand’anche un’azienda tentasse di discolparsi dimostrando la formazione effettuata agli incaricati, l’avvenuto data-breach evidenzierebbe, in ogni caso, che essa non è stata efficace.

Pochi aiuti alle imprese, per il rispetto del GDPR, dai codici di condotta e ancora nessuna semplificazione per le PMI

L’articolo Coperta ancora troppo corta per la tutela dei dati personali riprende in esame la Relazione annuale del Garante per la Privacy, ma mette in evidenza che, rispetto ai data-breach notificati, quelli non denunciati sarebbero molti di più. Secondo una ricerca di Accenture, nel 2021 sarebbe stata  effettuata una media di 270 attacchi per azienda. Da ciò il richiamo del Garante a pubbliche amministrazioni ed imprese ad investire maggiormente sulla sicurezza informatica ed a proteggersi dai ransomware.

L’autore dell’articolo afferma che il GDPR non ha contribuito alla riduzione dei rischi per i dati personali che si corrono nella rete, ma anzi la vaghezza delle sue norme contribuisce a renderle inefficaci, pur ammettendo il sussistere di condotte non conformi da parte delle imprese. Inoltre non sono ancora stati emessi, da parte delle associazioni imprenditoriali, codici di condotta, peraltro incoraggiati dallo stesso GDPR, per favorire le aziende, specie le PMI, nel rispetto dei requisiti sulla protezione dei dati personali. Gli unici tre codici di condotta promulgati riguardano specifiche e particolari associazioni di categoria o particolari trattamenti. Solo il codice di condotta circa le informazioni commerciali trova un’applicazione un po’ più diffusa e, più che altro, è l’unico accreditato dall’Organismo di monitoraggio (secondo quanto previsto dal GDPR).

Un’altra occasione mancata è la semplificazione per le micro, piccole e medie imprese, ai fini degli adempimenti a carico del titolare del trattamento dei dati personali. I titolari hanno infatti livelli dimensionali differenti, che il GDPR non prende in considerazione, in termini di struttura, risorse e criticità.

Viene infine riportato che nel 2021 c’è stato, rispetto al 2020, un incremento del 300% delle sanzioni pecuniarie e del 200% per il totale generale dei provvedimenti correttivi e sanzionatori. L’autore evidenzia però che le sanzioni di carattere penale, nel 2021, sono state solo 12, essendo il sistema sanzionatorio previsto dal GDPR un sistema sanzionatorio essenzialmente amministrativo.

Alternative ai Google Analytics conformi al GDPR, almeno per le Pubbliche Amministrazioni

L’articolo Le possibili soluzioni per i siti web della Pubblica Amministrazione che utilizzano ancora Google Analytics informa che, rispetto all’utilizzo del servizio di Google Analytics, recentemente dichiarato illegittimo anche dal Garante italiano [si vedano i precedenti articoli in materia; ndr], le Pubbliche Amministrazioni hanno a disposizione il portale Web Analytics Italia (WAI, messo a disposizione dall’AGID [Agenzia per l’italia Digitale])  che offre il totale controllo (e la proprietà) del dato raccolto e che utilizza di default il sistema di anonimizzazione dell’indirizzo IP degli utenti, con più immediate compliance al GDPR e tutela degli interessati. [Peccato che questo strumento non venga offerto anche alle imprese private!]

La Commissione Europea utilizza Europa Analytics come servizio di analisi interno che misura l’efficacia e l’efficienza dei propri siti web; tale servizio è basato su Matomo [che è è il principale strumento di analisi web open source progettato per aiutare le organizzazioni a prendere decisioni più informate e migliorare l’esperienza del cliente, garantendo nel contempo la proprietà dei dati, la conformità e la privacy. Ndr]

Il consenso degli interessati non necessariamente risolve il problema della liceità del trattamento

L’articolo Le scuole non possono basare il trattamento dei dati personali sul consenso degli interessati informa che in una recente motivazione, il Garante per la privacy ha precisato che la normativa sulla privacy impone alle pubbliche amministrazioni di agire con presupposti diversi dal consenso (osservanza dell’interesse pubblico e svolgimento dell’attività istituzionale determinata dalle leggi e dai regolamenti). D’altra parte il consenso non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito pubblico, in ragione dello squilibrio della posizione degli interessati rispetto al titolare del trattamento.

La verifica della maggior età online: è obbligatoria ma al momento non pare vi siano metodologie affidabili

L’affermazione di cui al titolo dell’articolo Minori online: a rischio privacy i siti e le app che trattano dati senza accertare l’età deriva dal monito del Garante della privacy rivolto ad un social network, che pretendeva di mandare pubblicità personalizzata agli iscritti maggiorenni, senza dimostrare che lo fossero davvero.

Il Garante ha denunciato l’assenza di elementi certi per l’identificazione della persona di maggiore età, alla luce anche “delle negative prove sin qui susseguitesi” in ordine alla capacità del social network in questione di effettuare tale valutazione (e questo vale per tutti i social network in generale).

Stesse o maggiori difficoltà anche nel caso in cui debba essere riconosciuta un’età maggiore o minore di 14 anni, in relazione alla necessità del consenso genitoriale, o di 13 qualora si faccia riferimento generico al GDPR senza tener conto della deroga italiana [o altre età per altri paesi, comunque non meno di 13 anni]. Se si ricade in un ambito contrattuale, allora gli anni sono comunque 18.

Il Garante ha affermato che ha in corso collaborazioni con esperti di settore “per sviluppare e identificare modi innovativi per migliorare ulteriormente le misure di verifica dell’età in modo da bilanciare con successo i diritti e gli interessi degli utenti”. Tuttavia ad oggi non c’è ancora niente di fatto.

Titolare del trattamento dei dati personali e DPO: rischio di sovrapposizioni e di mancanze

In breve, con questo articolo, intitolato La maledizione del Dpo, l’autore esprime il contrasto tra la responsabilità del titolare del trattamento dei dati personali, che stabilisce il fine del trattamento e le misure per garantire un livello di sicurezza adeguato al rischio, delegandone l’operatività al responsabile del trattamento, e la necessità (obbligatorietà per le pubbliche amministrazioni) di nominare un DPO (responsabile della protezione dei dati personali).

Il DPO rischia di essere spesso chiamato, poi, a funzioni che non gli competono, come quella di definire il sistema organizzativo per la protezione dei dati: dovrebbe solo esaminarlo e valutarlo, indicando gli eventuali correttivi, dato che se lo realizzasse lui si avrebbe inequivocabilmente un conflitto di interesse.

L’articolo illustra ulteriori contrasti, lasciando infine percepire una certa critica nei confronti del legislatore (del Regolamento GDPR).

 

IN BREVE, DALL’ITALIA E DAL MONDO

Dati personali: merce di scambio con valore monetizzabile

L’articolo Nuovo articolo 135-octies del Codice del consumo: monetizzazione dei dati personali in vista riferisce che secondo Assonime, associazione delle società per azioni, con il nuovo articolo 135-octies del Codice del consumo, inserito dal d.lgs. 173/2021, che permette di pagare con dati i servizi e contenuti digitali, si è fatto un significativo passo in avanti per la costruzione di un mercato incentrato sul riconoscimento del valore economico del dato personale.

[Questa affermazione può lasciare perplessi, ma ormai da parecchi anni barattiamo i nostri dati personali (concedendone il consenso all’utilizzo) con la fruizione di servizi online, ciò che implicitamente comporta che questi dati abbiano un valore economico. Inoltre, quando concediamo addirittura che possano essere utilizzati da terzi ulteriori, dovremmo supporre che al titolare, cui abbiamo affidato i nostri dati personali (quali indirizzo IP e dati di navigazione utilizzabili per la profilazione) sarà corrisposta in qualche modo una remunerazione. Ndr]

Ben venga dunque la regolamentazione, in quanto è previsto un aumento delle tutele del consumatore digitale, quali recessi, conformità, indennizzi, ecc. per le forniture digitali, anche nel caso in cui il consumatore dia in cambio dati personali. E le regole di tutela riguardano anche la protezione degli individui.

Nel d.lgs. vi sono affermazioni di principio sull’impossibilità di considerare i dati come merce, tuttavia, sostiene l’autore dell’articolo, se i dati possono essere la moneta per pagare forniture, allora potrebbe essere breve il passo per considerarli materie prime o prodotti finiti (come, peraltro, già capita nel mercato dei profili elaborati a partire da dati forniti da una persona).

Il Digital Markets Acts per un settore digitale equo e competitivo, ma con riguardo alla privacy

L’articolo Approvato in via definitiva il Digital Markets Act: gli impatti sui trattamenti di dati personali ci informa che il Consiglio UE ha appunto approvato il Digital Markets Act (DMA), lo scorso 18 luglio. Le nuove norme sui mercati digitali sono finalizzate ad un settore digitale equo e competitivo.

I soggetti interessati sono le grandi piattaforme online come Facebook, Amazon, Google, etc, detti “gatekeeper” (imprese da 7,5 miliardi di fatturato annuo, con 45 milioni di utenti mensili e una posizione di mercato stabile e duratura). Tra i principali requisiti che ora essi dovranno rispettare vi sono i seguenti [si citano solo quelli di maggior possibile interesse per gli utenti delle piattaforme; ndr]:

  • dovranno garantire che l’annullamento dell’abbonamento ai servizi di piattaforma di base sia semplice quanto l’abbonamento,
  • dovranno dare agli utenti commerciali l’accesso ai loro dati di prestazione marketing o pubblicitaria sulla piattaforma,
  • non potranno preinstallare determinate applicazioni o software o impedire agli utenti di disinstallare facilmente tali applicazioni o software,
  • non potranno imporre l’installazione dei software più importanti (ad esempio i browser web) per impostazione predefinita all’installazione del sistema operativo,
  • non potranno riutilizzare i dati personali raccolti nel corso di un servizio ai fini di un altro servizio,
  • non potranno combinare dati personali provenienti dal pertinente servizio di piattaforma di base con dati personali provenienti da altri servizi propri o di terzi.

Il Digital Markets Act entrerà in vigore 6 mesi dopo la pubblicazione nella Gazzetta ufficiale dell’Unione europea .

 

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • L’Autorità Garante ha sanzionato un comune che aveva nominato come DPO il proprio responsabile del settore Affari Generali, trattandosi questa di una posizione apicale, tale da produrre un conflitto di interessi insanabile. Altra contestazione ha riguardato la mancata pubblicazione (ad es. su sito web) dei dati di contatto del DPO.
  • Con un provvedimento di urgenza, l’Autorità italiana per la protezione dei dati ha avvertito Tik Tok che è illecito utilizzare dati personali archiviati nei dispositivi degli utenti per profilarli e inviare ad essi pubblicità personalizzata senza un loro esplicito consenso. Questa esortazione vale per tutti i social e i trattamenti di dati fatti da terzi.
  • L’Antitrust ha avviato un’istruttoria nei confronti di Google ipotizzando un abuso di posizione dominante, a causa della posizione di predominio in diversi mercati che consentono di acquisire grandi quantità di dati attraverso i servizi erogati (Gmail, Google Maps, Android).
  • La Corte di Cassazione, con una recente sentenza, ha affermato che l’anonimato delle criptovalute favorisce l’autoriciclaggio. Infatti è possibile garantire il massimo anonimato, senza previsione di alcun controllo sull’ingresso di nuovi “nodi” e sulla provenienza del denaro convertito. Una quantità elevata di criptovalute è utilizzata nel dark web, proprio per le caratteristiche di opacità.
  • Diversi milioni di numeri di telefono e account Whatsapp di utenti italiani sono finiti in vendita nel Dark Web. I nostri dati, sfruttando quelli poi direttamente reperibili sui social da noi utilizzati, possono essere sfruttati con tecniche di phishing per carpirci informazioni sensibili. Attenzione quindi a falsi vecchi amici o altri contatti realistici che ci chiedano ulteriori informazioni.
  • L’Autorità Garante ha sanzionato l’INAIL per tre incidenti di sicurezza, occorsi tra il 2019 e il 2020, consistiti nell’accesso illegittimo di terzi a pratiche di infortunio e malattia professionale di altri lavoratori. Due casi sono stati attribuiti a causa accidentale (problemi di configurazione delle infrastrutture software e middleware delle piattaforme software utilizzate), uno ad errore umano (esecuzione di una versione non aggiornata del software). Nonostante l’INAIL abbia provveduto alla notifica delle violazioni, il provvedimento del Garante è scaturito perché il GDPR richiede che il titolare assicuri che i dati siano trattati in maniera da garantire un’adeguata sicurezza, mediante misure tecniche e organizzative adeguate, per ridurre il rischio di accessi non autorizzati o illeciti, perdita, distruzione o danno accidentali.
  • Dopo Francia, Regno Unito ed Italia, anche il Garante greco ha pesantemente sanzionato la statunitense Clearview AI, imponendole di cancellare i dati biometrici raccolti dei cittadini greci. Clearview AI vende i suoi strumenti di riconoscimento facciale alle forze dell’ordine di tutto il mondo, ed estrae immagini e dati personali da fonti online disponibili al pubblico come i profili dei social media e gli account di condivisione di foto. Il problema principale, nei confronti del GDPR, è la mancata informazione e richiesta di consenso agli interessati, che oltretutto sono anche inconsapevoli del trattamento.
  • Il Garante della Privacy ha sanzionato due Asl per accessi abusivi al dossier sanitario dei pazienti: gli accessi sarebbero stati fatti da personale non coinvolto nel processo di cura. E’ stata inoltre ordinata l’adozione di misure correttive alla società informatica che gestisce l’applicazione per la consultazione dei referti online.
  • Un comune è stato sanzionato per aver diffuso dati personali relativi ad un curriculum pubblicato online sul sito istituzionale, senza che vi fosse pertinenza rispetto alle finalità di trasparenza perseguite.

ing. Michele Lopardo

Responsabile Qualità @ Wondersys