PUBBLICITA’ E PRIVACY

Rischio valanga di telefonate commerciali sui cellulari

L’articolo Rischio valanga di telefonate commerciali sui cellulari solleva un problema circa il Registro pubblico delle opposizioni. Poiché è data facoltà di registrare anche i numeri di cellulare, così come i numeri di telefono fissi, al fine di evitare telemarketing, i numeri non elencati nel Registro potranno essere oggetto di pubblicità telefonica pur in assenza di consenso? Il Registro vanificherebbe la ragione della sua stessa istituzione.

L’autore però precisa che i numeri dei cellulari non sono iscritti in elenchi pubblici ed è quindi comunque necessario il consenso preventivo.

[Resta il fatto che c’è una certa confusione e si teme che alla fine gli interessati, di fatto, non saranno tutelati. Ndr]. Le autorità garanti contribuiscono a creare contraddizioni: il Garante belga ha aperto alle e-mail commerciali senza consenso, ritenendo ciò in applicazione del Gdpr.

 

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Emergenze per i dati personali (e non): il ruolo del DPO

Quanto segue è tratto dall’articolo Il Data Protection Officer e la gestione delle situazioni di emergenza.

Un agente di minaccia può portare un’organizzazione ad uno stato di situazione emergenziale. Questa situazione può essere “simmetrica”, quando colpisce tutti i soggetti appartenenti ad un certo settore (per esempio la pandemia),  o “asimmetrica” se colpisce un’unica azienda (per esempio uno specifico data breach).

In una situazione emergenziale, il DPO si trova ad affrontare i seguenti temi (sotto, tra parentesi, l’esempio relativo ad un caso di incendio):

  • la priorità da dare al tema della protezione dei dati rispetto ad altre tematiche, come ad esempio la salute e sicurezza sui luoghi di lavoro (l’incolumità delle persone è prioritaria);
  • la gestione dell’emergenza in quanto impattante sugli interessati (le conseguenze sull’integrità, disponibilità dei dati);
  • la gestione della mancanza totale o parziale di risorse a seguito della condizione emergenziale (distruzione di asset per storage, elaborazione, comunicazione).

Il DPO dovrebbe verificare l’adozione, da parte dell’azienda, di misure per ridurre la gravità dell’impatto, quali le seguenti:

  • prevedere un’ampia casistica di minacce;
  • prevedere le risorse (persone e mezzi) per garantire i diritti e libertà degli interessati e valutare le conseguenze legate al non rispetto della normativa;
  • individuazione dei ruoli e delle responsabilità in un contesto emergenziale a risorse limitate;
  • analisi dei rischi aggiornata (con scadenziario), che preveda anche eventi che incidono sulla business continuity;
  • piano di business continuity, verificato e aggiornato
  • definizione delle modalità e delle responsabilità per la gestione delle informazioni;
  • formazione al personale sugli scenari, per assicurare adeguata competenza, e simulazione degli stessi;
  • stipula di contratti con i fornitori per livelli minimi di erogazione del servizio ed audit presso quelli strategici per valutare i loro piani di business continuity;
  • procedura di data breach che indaghi gli aspetti relativi a possibili condizioni emergenziali ed alle azioni da porre in atto per ridurre le vulnerabilità.

Tra le minacce possono accadere:

  • mancanza di membri del Team, crisi
  • assenza di collegamenti (es. internet, energia)
  • assenza totale/parziale di fornitori/servizi critici per la business continuity
  • cause di forza maggiore/eventi naturali
  • altri scenari connaturati al contesto in cui opera l’organizzazione.

Le norme UNI EN ISO 22301:2019 “Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti” e UNI EN ISO 22313:2020 “Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Guida all’utilizzo della ISO 22301”, forniscono indicazioni utili.

E’ utile prevedere ridondanza di PC ed abbonamenti ad operatori che forniscano servizi di connettività ed offrano facilmente accesso a un supporto tecnico qualificato, in modo da poter garantire anche interventi a distanza.

Il DPO dovrebbe verificare le misure implementate dall’azienda da attuarsi nel corso di un’emergenza, per affrontare la situazione.

A valle dell’emergenza, infine, il DPO dovrebbe valutare gli effetti dell’evento e la capacità dimostrata dall’organizzazione di rispondere alla crisi.

Inutile dire che il tutto dovrebbe essere documentato.

Due norme aiutano ad implementare un sistema per la continuità operativa aziendale

Secondo l’articolo Dalla Norma ISO 22301:2019 le best practices per aiutare i DPO a prevenire e gestire le situazioni di emergenza, al fine di garantire i diritti e le libertà degli interessati, il DPO deve essere promotore della continuità aziendale anche in caso di condizione emergenziale (pandemia, attacchi hacker, catastrofi naturali). A tal fine, sono di supporto le norme UNI EN ISO 22301:2019 “Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Requisiti” e UNI EN ISO 22313:2020 “Sicurezza e resilienza – Sistemi di gestione per la continuità operativa – Guida all’utilizzo della ISO 22301”.

La UNI 22301 è infatti relativa all’implementazione di un sistema di gestione della continuità operativa (BCMS – Business Continuity Management System), attraverso l’individuazione delle contingenze avverse e la definizione delle misure da porre in atto per garantire la continuità aziendale riducendo al minimo gli impatti.

Le linee guida per l’applicazione efficiente dei requisiti della 22301, contenente alcune indicazioni troppo generiche, sono espresse dalla UNI 22313 attraverso i seguenti ambiti operativi.

Descrizione delle opzioni strategiche per la protezione delle attività che risultano prioritarie:

  • strategie individuate in base al costo di mitigazione;
  • opzioni per mitigare l’impatto e la durata di un evento in uno scenario avverso;
  • tecniche per valutare le capacità di continuità operativa dei fornitori;
  • tipi di risorse che un’organizzazione deve stabilire e monitorare;
  • strategie per la gestione delle risorse umane e procedure di ricollocazione del personale;
  • tipi di backup;
  • strategie per i cantieri;
  • strategie per strutture e forniture;strategie per i sistemi ICT;
  • strategie per i trasporti;
  • indicazioni per la gestione dei finanziamenti necessari durante un incidente,
  • ecc.

Contenuto delle procedure/piani di continuità operativa:

  • comunicazione degli incidenti;
  • continuità operativa;
  • continuità ICT;
  • salvataggio e sicurezza;
  • ripresa delle attività;
  • ubicazione del team di gestione degli incidenti.

Nell’ambito della continuità operativa per l’ICT, sono previste (paragrafo 8.4.4.9):

  • procedure per richiamare al lavoro il personale addetto alla ICT o per permettere di operare da remoto;
  • il ripristino dei dati, delle modalità di informazione e comunicazione;
  • accesso ai dati di backup ed acquisto di servizi alternativi, oltre ai relativi supporti;
  • gli obiettivi temporali di disponibilità e la capacità e le procedure di continuità per garantire gli obiettivi temporali definiti.

Il compito del DPO dovrebbe essere la sensibilizzazione del titolare del trattamento dati personali all’applicazione delle linee guida, tramite l’identificazione degli scenari di rischio più probabili, la messa a disposizione delle risorse per le misure da pianificare, la realizzazione delle misure secondo un piano definito, l’esecuzione di prove di simulazione e l’esecuzione di audit in merito.

9 punti essenziali per l’applicazione di un modello di Privacy/Data Protection e Cybersecurity

Prendendo spunto dalla trasformazione digitale, che coinvolge aspetti materiali ed organizzativi del mondo delle aziende, anche recenti, come il Machine Learning, la Cloud Technology, l’Internet of Things, l’Artificial Intelligence e i Big Data, l’articolo Trasformazione digitale: perché Privacy, Data Protection e Cybersecurity giocano un ruolo fondamentale sottolinea la necessità di un corretto modello di Privacy/Data Protection e Cybersecurity, indispensabile anche per la conformità con leggi e regolamenti, tra cui, in primis, il GDPR.

L’attenzione è posta su 9 punti [di cui si riporta solo la descrizione sommaria, rimandando all’articolo originale per i dettagli. Il rispetto di alcuni di questi punti contribuisce, fra l’altro, al soddisfacimento anche della norma ISO/IEC 27001. Ndr]:

  1. Valutazione dei processi nella fase di progettazione lato privacy by design e privacy by default
  2. Valutazione della sicurezza dell’infrastruttura tecnica e dei flussi di lavoro
  3. Acquisizione delle necessarie garanzie/certificazioni da parte dei fornitori
  4. Mappatura dei flussi dei dati
  5. Valutazione del rischio e valutazione d’impatto del trattamento nei confronti degli interessati
  6. Implementazione di tutti gli opportuni meccanismi di garanzia nei confronti dei consumatori/utenti/social users
  7. Adozione di un modello di organizzazione e gestione dei dati personali
  8. Implementazione dei controlli e delle procedure a presidio del sistema
  9. Formazione delle nuove competenze in azienda

 

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

No alla profilazione dei minori e occhio all’accertamento dell’età

[Si riporta quanto segue testualmente, estraendo le frasi integrali dall’articolo Privacy e minori online: dall’Europa una buona notizia, ma anche un’altra meno buona; ndr]

C’è l’accordo politico sul Digital Service Act e sembrerebbe che l’accordo in questione preveda, tra l’altro, che i dati dei bambini non si potranno più utilizzare per fare profilazione.

La verifica dell’età è altro rispetto alla verifica dell’identità e nulla osta a verificare l’età di una persona senza violare la sua privacy e/o esporla a rischi eccessivi.

[Peccato che non sia anche indicato come fare… Verificare inequivocabilmente l’età di un minore da remoto potrebbe comportare l’accesso al suo documento di identità se disponibile, o a quello di un genitore che rilasci anche uno stato di famiglia e tutto ciò comporta senza dubbio l’identificazione dei soggetti interessati. Per dimostrare a posteriori l’avvenuta identificazione si dovrebbero conservare le copie di tali documenti, sino a che sussistono le finalità e il consenso al trattamento, ma sappiamo che questa pratica è già stata sanzionata come violazione della privacy. Ndr]

Consultazione del Registro pubblico delle opposizioni, per il telemarketing, e consensi per l’invio di email pubblicitarie

Si riportano, in breve, alcuni argomenti trattati dall’articolo Marketing: recenti decisioni della Cassazione, pronunce del Garante Privacy, e Registro delle Opposizioni.

In relazione al telemarketing, i dati di contatto pubblicamente resi disponibili dagli interessati per finalità diverse da quella promozionale, non devono essere utilizzati neppure per chiedere agli interessati di esprimere il consenso al trattamento per finalità di marketing, in quanto esso stesso è ritenuto un trattamento per finalità di marketing.

Gli operatori pubblicitari hanno l’obbligo di consultare gli elenchi presenti nel Registro Pubblico delle Opposizioni, prima dell’avvio della campagna promozionale e con efficacia limitata, pari a 15 giorni e a 30 giorni, per le attività di marketing tramite telefono e mediante posta cartacea, rispettivamente. Inoltre, sono tenuti a consentire l’identificazione della linea chiamante ed a fornire le fonti da cui derivano i dati di contatto (ad esempio, gli elenchi di contraenti) ed ogni elemento utile all’eventuale iscrizione del contraente nel Registro pubblico delle opposizioni. Va posta anche attenzione all’utilizzo di anagrafiche messe a disposizione da terzi, poiché si dovrebbe verificare che questi abbiano avuto il consenso alla divulgazione dei dati di contatto degli interessati, consenso che non può derivare da fini diversi da questo (ad es. dal solo fine di poter ricevere informazioni commerciali dal provider iniziale).

[Si rileva, dalle pagine web del Registro delle opposizioni, che “Attualmente l’opposizione non annulla la validità dei consensi per contatti con finalità commerciali, rilasciati direttamente dagli utenti alle singole società (per esempio in occasione della stipula dei contratti, adesione a tessere fedeltà e sottoscrizione dei coupon con sconti)”. Viene espressamente chiarito che l’iscrizione al Registro è idonea quindi solo a “non ricevere contatti con finalità commerciali tramite la consultazione degli elenchi telefonici pubblici”. Ndr]

L’unica attività commerciale ammessa in assenza di consenso esplicito è quella effettuata mediante posta elettronica, nell’ambito del cosiddetto “soft spam” [già descritto in precedenti articoli].

Il Responsabile del trattamento dati personali ha responsabilità anche per le misure tecnico organizzative di protezione dei dati

Un Responsabile del trattamento dati personali (data processor) è stato sanzionato dal Garante per la privacy a causa di un accesso abusivo al sistema informatico che gestiva per conto del Titolare.

In dettaglio, le contestazioni hanno riguardato

  • la mancata protezione, a fronte di adeguate misure tecniche ed organizzative, delle password dei soggetti autorizzati
  • la mancata registrazione dei log di accesso al sistema,
  • l’adozione di un protocollo di rete non sicuro (http).

Secondo l’autore dell’articolo L’autonomia del Responsabile del trattamento è fonte di responsabilità diretta, il Responsabile del trattamento dati gode infatti di un’autonomia propositiva nell’adozione di misure tecniche e organizzative adeguate al livello di rischio, tanto che ne deriva una specifica e diretta responsabilità nel caso in cui le misure si rivelano inadeguate. Se colui che  determina le finalità e i mezzi del trattamento è il Titolare, al Responsabile rimangono comunque margini di scelta, soprattutto sugli aspetti dell’implementazione delle misure di garanzia, specie se in possesso di idonee conoscenze tecniche specifiche. Da tale autonomia deriva una responsabilità diretta del Responsabile, non mediata dalla posizione del Titolare.

I due ruoli sono in ogni caso complementari, senza rapporti di subordinazione, per quanto attiene alla materia della protezione dei dati personali. In definitiva, il Responsabile non può limitarsi ad essere un semplice esecutore delle istruzioni del Titolare.

 

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Controllare le email di un dipendente può infrangere, con buona probabilità, il GDPR

Secondo l’articolo Quando è lecito controllare la posta elettronica aziendale di un dipendente senza violare la sua privacy?, ricorre spesso, nei tribunali, il tema della liceità delle verifiche sull’email di un lavoratore dipendente, anche per scopi difensivi.

Alla equiparazione della posta elettronica alla corrispondenza tradizionale, la cui libertà e segretezza viene tutelata dall’art. 15 della Costituzione, ed alla  tutela della privacy per quanto stabilito dal GDPR, fa riscontro la legittimità del controllo della casella della posta elettronica del proprio dipendente da parte del datore di lavoro secondo l’attuale disciplina in tema di rapporti di lavoro.

Un provvedimento del Garante della Privacy ha da tempo chiarito che i datori di lavoro non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali.

I lavoratori devono essere informati dettagliatamente e con chiarezza  sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Lettura e registrazione sistematica delle e-mail e monitoraggio sistematico delle pagine web visualizzate dal lavoratore non possono essere eseguiti, perché si tratterebbe di un controllo a distanza dell’attività lavorativa, vietato dallo Statuto dei lavoratori. Queste attività sono ammesse solo in casi rarissimi.

Il Garante raccomanda di adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori. Ad esempio:

  • individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;
  • utilizzare filtri che prevengano determinate operazioni, quali l’accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali;
  • rendere disponibili anche indirizzi condivisi tra più lavoratori (info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura aziendale, non privata, della corrispondenza;
  • attribuire ai lavoratori un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale; 
  • prevedere, in caso di assenza del lavoratore, messaggi di risposta automatica con gli indirizzi di altri lavoratori cui rivolgersi;
  • mettere in grado il dipendente di delegare, in caso di assenza prolungata, un altro lavoratore alla verifica del contenuto dei messaggi a lui indirizzati e all’inoltro al titolare quelli ritenuti rilevanti per l’ufficio.

Sono vietati i controlli a distanza dei lavoratori e nell’accertamento di comportamenti illeciti dei lavoratori non possono comunque essere annullate la garanzia della dignità e della riservatezza del lavoratore. Un disciplinare aziendale sull’argomento dovrebbe essere definito previa consultazione delle organizzazioni sindacali. Inoltre, l’attuazione dei controlli difensivi dovrebbe avere una certa estensione, per es. per reparto, e solo successivamente essere eventualmente rivolta al singolo individuo.

La nuova ISO 27002 impatta anche sulla 27701, oltre che sulla 27001

A fronte della pubblicazione della nuova ISO/IEC 27002:2022 “Information security, cybersecurity and privacy protection — Information security controls”, anche la norma ISO/IEC 27701:2019 “Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines” è in corso di revisione.

L’articolo La ISO/IEC 27701:2019: la lettura della norma sulla gestione della privacy attraverso le ricorrenze precisa che i punti principali della 27701 riguardano la documentazione, lo scadenziario, gli indicatori di processo.

In parecchie parti della norma sono richieste “informazioni documentate”, che possono essere anche organizzate in un MOP (Modello Organizzativo Privacy) e che costituiscono una prova dell’accountability. E’ necessaria una certa attenzione, a causa delle differenti terminologie con cui sono chiamate le informazioni documentate (comunque qualunque cosa afferisca a scritti), in quanto la norma richiede un apparato documentale esteso, per definire e condividere modalità di lavoro e disporre di criteri indispensabili per l’esecuzione di audit sul sistema di gestione dei dati personali.

Lo scadenziario è necessario in quanto in diverse parti la ISO 27701 fa riferimento ad azioni che devono essere svolte ad intervalli periodici, per la pianificazione di misure che devono essere definite, avviate e monitorate.

Gli indicatori di processo servono a valutare l’efficacia e l’efficienza delle misure poste in atto e quindi a monitorare la capacità dell’azienda di sfruttare le risorse disponibili per assicurare la sicurezza dei dati personali. La ISO/IEC 27701:2019 presenta, in diversi controlli, riferimenti agli indicatori di processo.

Restrizioni nell’utilizzo di telecamere intelligenti

L’articolo Telecamere intelligenti nella pubblica amministrazione: la conformità al Gdpr passa dalla valutazione d’impatto informa che l’utilizzo delle “telecamere intelligenti”, dotate per lo più della funzionalità di riconoscimento delle targhe (Optical Character Recognition – OCR) ed utilizzate da molti comuni, richiede la preventiva valutazione di impatto (DPIA) allo scopo di minimizzare i rischi per i diritti e le libertà degli individui. Si tratta infatti di un trattamento di dati personali su larga scala piuttosto invasivo per la privacy.

Un’amministrazione pubblica dovrà definire preventivamente  se le telecamere OCR da utilizzare dovranno uso di cloud server e, in questo caso, se verificare che i server siano di fornitori qualificati da Ag.Id (Agenzia Italia Digitale). Poi si dovrà appurare se sono previsti trasferimenti di dati all’estero e se questi sono conformi al GDPR.

Possibili funzioni integrate sono la “blacklist” (di pubblica sicurezza, con invio di alert) e la “whitelist” (per i permessi relativi al passaggio in ZTL); queste rispondono al principio di minimizzazione, prendendo in considerazione liste limitate, e di proporzionalità.

Nell’utilizzo delle telecamere OCR per le attività di polizia giudiziaria, vi sono due diverse possibilità:

  • Sistemi LPR (License Plate Recognition) che si limitano a catturare l’immagine delle targhe ed è l’operatore che la utilizza nel software che estrarrà solo le immagini del veicolo interessato;
  • Sistemi ANPR (Automatic Number Plate Recognition) in cui detto software è integrato nella telecamera, trasforma l’immagine della targa in testo e la associa alle immagini del veicolo, con una una acquisizione sistematica e su larga scala; se non avviene la cancellazione dei dati non corrispondenti ad un blacklist si configura un trattamento sproporzionato ed ingiustificato dal punto di vista della privacy.

No a registrazioni audio-video di lezioni o meeting senza il consenso preventivo

L’articolo Il docente non può registrare le lezioni senza il consenso degli studenti riferisce che una recente decisione della Corte di Cassazione ha evidenziato che non possono essere effettuate registrazioni audio e/o video senza il preventivo consenso di tutti i partecipanti. Quindi il consenso non è indispensabile solo relativamente alla divulgazione, ma anche alla stessa registrazione, in quanto essa costituisce un trattamento di dati di categoria particolare, quali quelli che consentono di individuare biometricamente gli interessati e di conoscere le loro tendenze e propensioni derivanti da eventuali pareri espressi durante la sessione.

Al DPO e il Data Manager spetta le definizione e l’applicazione delle misure ed attività per rispettare le normative sul riconoscimento facciale

Dall’articolo Adottate le Linee Guida sul riconoscimento facciale: gli impatti per i Data Protection Officer si trae quanto segue.

In caso di ampio uso e conservazione di dati di riconoscimento facciale, il DPO per primo dovrà segnalare la necessità nominare il Database Manager addetto a tale gestione, figura che dovrà interagire strettamente con lo stesso DPO.

Al Database Manager spetta di definire quando e in quali circostanze le immagini facciali possono essere archiviate e come esse debbano essere conservate, compresi i tempi di conservazione; quindi dovrà assicurare la correttezza della raccolta e della conservazione, nonché effettuare la cancellazione alla scadenza dei termini.

I dati relativi al riconoscimento facciale sono dati personali e dati biometrici ed il loro trattamento va oltre la tutela della privacy, essendo regolamentato anche dall’art. 3/13 della Direttiva (UE) 2016/680.

Sono vietate le raccolte da remoto di dati biometrici effettuate in spazi pubblici, che, per le modalità adottate e, in primo luogo, per la mancanza di adeguata informativa, comportino una inammissibile intrusione nella vita privata e aprano la strada alla società della sorveglianza.

E’ vietato archiviare i dati biometrici in cluster costruiti sulla base di elementi etnici, di genere, di orientamenti sessuali o politici.

Le tecnologie di riconoscimento facciale si basano sull’utilizzazione di parametri (templates) biometrici estratti da dati biometrici conservati in appositi database biometrici e sul trattamento di grandi quantità di dati analizzati attraverso l’uso di algoritmi probabilistici che devono essere appositamente allenati, così come per l’Intelligenza Artificiale. Quindi, chi tratta i dati biometrici si assume la responsabilità di verificare la correttezza e l’esattezza dei dati trattati anche per il corretto allenamento degli algoritmi.

Ai fini della valutazione della legittimità di un trattamento facciale, devono essere considerati i seguenti aspetti:

  • la valutazione del grado di controllo che gli interessati hanno rispetto alla utilizzazione dei dati che li riguardano;
  • i mezzi su cui gli interessati possono contare per evitare un controllo sull’uso dei loro dati;
  • le conseguenze che gli interessati possono subire;
  • la scala dei trattamenti previsti.

La valutazione dei rischi costituisce un elemento essenziale e, in caso di controllo da parte delle autorità, costituirà l’oggetto per la verifica delle misure di sicurezza adottate, assieme alla completezza dell’informativa per agli interessati e l’efficacia delle modalità messe a disposizione per l’esercizio dei diritti degli interessati.

Registrare una conversazione: in quali casi è lecito e quando viola la privacy?

[L’ articolo Registrare una conversazione: in quali casi è lecito e quando viola la privacy? esula dagli argomenti afferenti la sfera lavorativa, tuttavia può darsi che, a livello personale, interessi diversi lettori; ndr]

L’autore si è posto il problema delle registrazioni di audito (anche telefonico) o in videoconferenza registrate nell’ambito delle relazioni sociali. Sono soggette al GDPR anche se effettuate da una singola persona?

Il GDPR prevede la non applicazione per attività attività a carattere esclusivamente personale o domestico, oltre che eseguite da una persona fisica.

L’autore effettua  e riporta una serie di considerazioni in merito alla parziale interdipendenza dei due ambiti ed infine giunge alle seguenti conclusioni.

  • la registrazione personale delle conversazioni con terzi non è soggetta al GDPR,
  • come pure la circolazione di tali dati in ambito strettamente domestico (in seno alla cerchia dei familiari prossimi),
  • la diffusione, anche limitata, a terzi e, a maggior ragione, la pubblicazione, rendono applicabili tutti i requisiti del GDPR in capo al titolare del trattamento dati personali, incluse le possibili sanzioni da parte dell’Autorità di controllo.

 

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Il Responsabile del trattamento dati personali ha responsabilità anche per le misure tecnico organizzative di protezione dei dati

Un Responsabile del trattamento dati personali (data processor) è stato sanzionato dal Garante per la privacy a causa di un accesso abusivo al sistema informatico che gestiva per conto del Titolare.

In dettaglio, le contestazioni hanno riguardato

  • la mancata protezione, a fronte di adeguate misure tecniche ed organizzative, delle password dei soggetti autorizzati
  • la mancata registrazione dei log di accesso al sistema,
  • l’adozione di un protocollo di rete non sicuro (http).

Secondo l’autore dell’articolo L’autonomia del Responsabile del trattamento è fonte di responsabilità diretta, il Responsabile del trattamento dati gode infatti di un’autonomia propositiva nell’adozione di misure tecniche e organizzative adeguate al livello di rischio, tanto che ne deriva una specifica e diretta responsabilità nel caso in cui le misure si rivelano inadeguate. Se colui che  determina le finalità e i mezzi del trattamento è il Titolare, al Responsabile rimangono comunque margini di scelta, soprattutto sugli aspetti dell’implementazione delle misure di garanzia, specie se in possesso di idonee conoscenze tecniche specifiche. Da tale autonomia deriva una responsabilità diretta del Responsabile, non mediata dalla posizione del Titolare.

I due ruoli sono in ogni caso complementari, senza rapporti di subordinazione, per quanto attiene alla materia della protezione dei dati personali. In definitiva, il Responsabile non può limitarsi ad essere un semplice esecutore delle istruzioni del Titolare.

Terzi possono identificare minori, tutelandone la privacy ?

L’articolo, Tavolo tecnico del Ministero della Giustizia: più tutele privacy per i minori sui social network e ‘age verification’ per i baby influenceral di là delle dichiarazioni di intenti per la volontà di tutelare la privacy dei minori che accedono alle varie piattaforme in rete, cita un nuovo sistema per la “age verification” basato sulla certificazione dell’identità da parte di terzi, così da mantenere pienamente tutelato il diritto alla privacy. [Aspettiamo di vedere nel dettaglio, in cosa consisterà; ndr]

 

IN BREVE, DALL’ITALIA E DAL MONDO

Recenti Atti dell’UE con nuove regole per l’economia digitale

In due parole, l’articolo Dal Data Protection Officer al manager dei dati: come deve cambiare il ruolo chiave del Gdpr anche nel quadro di un suo costante aggiornamento professionale illustra i passaggi delle consultazioni e degli atti della Comunità Europea, culminati negli accordi sul Digital Market Act (DMA) e sul Digitale Services Act (DSA), che sono finalizzati a favorire la fiducia degli utenti e degli operatori economici nei fornitori di servizi operanti nello spazio unico europeo, a fronte di un’economia sempre più digitale e basata su fenomeni complessi.

In questo quadro, le imprese fornitrici di servizi e quelle costruttrici di apparati tecnologici di utilizzo e analisi dei dati avranno bisogno un DPO preparato a gestire i requisiti del GDPR, ma anche esperto di dati e con preparazione adeguata al rispetto delle innovazioni regolatorie e tecnologiche che la UE sta mettendo in campo.

Il precedente argomento è ripreso dall’articolo Accordo sul Digital Services Act: il mercato unico digitale europeo è più vicino, che fornisce chiarimenti in merito allo scopo di ciascuno del due Atti di cui sopra.

Il DSA intende proteggere lo spazio digitale dalla diffusione di contenuti illegali e a garantire la tutela dei diritti fondamentali degli utenti. Riguarda soprattutto gli intermediari di servizi online e le piattaforme online: attività online necessarie per i marketplaces, social network, piattaforme online che consentono di condividere le informazioni e i dati che esse contengono, app stores e servizi necessari per organizzare viaggi on line. Le grandi piattaforme saranno obbligate ad analizzare i rischi sistemici che creano e a perseguire la riduzione dei rischi, inclusi quelli sui processi democratici, sulla sicurezza pubblica, sulla violenza di genere e sui minori e sulle conseguenze per la salute fisica o mentale degli utenti.

Il Digital Market Act, invece, per le piattaforme che hanno almeno 45 milioni di utenti, disciplina i rapporti tra fornitori di servizi e utenti, per evitare che le piattaforme gatekeeper, approfittando del loro ruolo di “colli di bottiglia” tra business e utenti di importanti servizi digitali, operino di fatto come poteri privati di regolazione dell’economia digitale. [Il Gatekeeper è una funzionalità di sicurezza dei sistemi operativi macOS e iOS di Apple. Richiede che il software scaricato sia firmato digitalmente da Apple prima di poter essere installato. Riduce significativamente la possibilità che il malware possa essere installato involontariamente sui dispositivi Apple. Un gatekeeper potrebbe però privilegiare il software di un produttore a discapito della concorrenza. Ndr]

Via libera alle cause sulla privacy promosse dalle associazioni dei consumatori

Il titolo dell’articolo Associazioni dei consumatori legittimate ad agire anche senza una concreta violazione della privacy e anche senza mandato specifico costituisce di per sé l’oggetto dell’articolo stesso.

Una sentenza della Corte Costituzionale UE chiarisce che un’associazione per la tutela degli interessi dei consumatori è un “organismo legittimato ad agire” ai sensi del GDPR, senza che sia necessario identificare la persona specifica che subisce una violazione dei diritti riconosciuti dal regolamento e dalle altre norme sulla protezione del dati personali.

Le sanzioni per le violazioni del Gdpr si accingono a diventare più uniformi?

L’articolo Dall’European Data Protection Board le Linee Guida 04/2022 con l’obiettivo di armonizzare le sanzioni per le violazioni del Gdpr informa che Il Comitato europeo per la protezione dei dati ha adottato le Linee Guida 04/2022 che hanno l’obiettivo di armonizzare le metodologie di calcolo delle sanzioni amministrative pecuniarie connesse alle violazioni del GDPR.

[Ci si augura che questo possa superare le difformità di comportamento anche rilevanti, sia nel sanzionare che nel definire gli importi delle ammende, da parte delle diverse Autorità di controllo. Ndr)

I criteri per uniformare le sanzioni previste dal GDPR non da tutti sono accolti favorevolmente

Se un precedente articolo accoglieva favorevolmente la consultazione pubblica sulle Linee guida n. 4 del 12/5/2022 circa le sanzioni del GDPR, per l’intento di uniformare le sanzioni stesse presso i vari Garanti privacy degli stati membri dell’UE, l’articolo Le nuove Linee Guida sulle sanzioni costringono i garanti della privacy a districarsi in una babele di calcoli, invece, pone l’accento sul fatto che i garanti dovranno affrontare una complicata metodologia di calcolo, pur non ottenendo in assoluto l’uniformità auspicata, in quanto alcuni aspetti dovranno restare nell’ambito di discrezionalità dei garanti stessi (quale la definizione della gravità delle violazioni)

 

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Il Garante ha avviato un’istruttoria per poter verificare il rispetto del GDPR da parte di un’agenzia di rating reputazionale, dato che questo coinvolge studenti, anche minori. [Il Rating Reputazionale misura in maniera oggettiva la reputazione a 360 gradi di imprese, enti e individui e aumenta la sicurezza collettiva. Fa questo grazie a un algoritmo proprietario che prende in considerazione solamente le informazioni presenti in documenti e certificati. Ndr]
  • Un ennesimo attacco hacker. E’ stato preso di mira il sistema informatico degli ospedali Fatebenefratelli-Sacco ed un ransomware ha criptato le cartelle cliniche.
  • Attacco hacker all’Associazione Bancaria Italiana: sono stati criptati dati sensibili ed è stato chiesto riscatto
  • Il Ministero dell’Interno è stato sanzionato per 110mila euro per aver diffuso, in conferenza stampa, immagini e video di persone arrestate o detenute, lesivi della loro dignità.
  • Un’azienda ospedaliera e la società informatica che gestiva il servizio di gestione dei sistemi di whistleblowing; infatti venivano registrati e conservati i dati di navigazione, non veniva protetta l’identità dei denuncianti, mancavano la preventiva informazione dei lavoratori, il registro del trattamento e la valutazione di impatto. Inoltre, il servizio di hosting era stato affidato a terzi senza le dovute istruzioni e senza che l’azienda ne fosse informata.
  • Il Garante per la privacy spagnolo ha sanzionato Google per 10 milioni di euro e gli ha ordinato di modificare la procedura attraverso la quale i cittadini possono esercitare il diritto all’oblio e di cancellare tutti i dati personali oggetto di tale esercizio. Infatti, i dati dei richiedenti, forniti tramite il modulo online per la richiesta di oblio, venivano trasmessi al database del progetto Lume dell’università di Harvard. Le richieste di rimozione finivano quindi sul web, producendo l’effetto opposto alla volontà di rimozione espressa.

ing. Michele Lopardo

Responsabile Qualità @ Wondersys