GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Occhio ai dati sul telefonino se lo cedete ad altri!

In riferimento all’articolo Insieme allo smartphone usato attenti a non vendere anche i vostri segreti più intimi, in breve, prima di vendere il nostro smartphone usato o di lasciarlo in permuta per l’acquisto di un nuovo, se vogliamo minimizzare il rischio di diffusione delle nostre informazioni sensibili, incluse password e codici di accesso magari a conto correnti bancari, ricordiamoci di scollegarlo da tutti i servizi e di riportarlo alle condizioni di fabbrica, seguendo le istruzioni del produttore.

L’ulteriore articolo Vendita di smartphone usati: dati personali a rischio senza cancellazione sicura. L’infografica con le best practices per tutelare la privacy denuncia quanto sia rischiosa la cessione anche dei router o altri dispositivi aziendali ed offre un link da cui scaricare un’infografica con pratici consigli di base su come procedere per la cancellazione dei dati.

Una minaccia per l’Intelligenza Artificiale

L’articolo Attacchi di poisoning, come difendersi dall’avvelenamento dei dati spiega che i sistemi di Intelligenza Artificiale offrono una vulnerabilità del Machine Learning nei confronti della minaccia detta data poisoning. Si tratta dell’inserimento di falsi dati di addestramento che generano una distorsione dei risultati prodotti dal sistema a favore degli obiettivi perseguiti dall’attaccante.

I produttori di applicazioni di IA devono quindi proteggere da intrusioni le funzioni di ML ed i dataset utilizzati per l’addestramento, attuare procedure di individuazione dei dati corrotti, controllare la catena di fornitura dei dati (supply chain) per evitare l’introduzione da parte di soggetti non autorizzati.

Tra l’altro, una mancanza di adeguatezza, pertinenza e/o limitazione dei dati a quanto necessario rispetto alle finalità costituisce una violazione del GDPR.

La Comunità Europea si attrezza per la difesa dagli attacchi informatici

L’articolo Cybersecurity UE: verso uno scudo europeo sulla cybersicurezza ed un’accademia per le diverse competenze informa che lo scorso aprile, la Commissione europea ha adottato una proposta relativa alla normativa dell’UE per rafforzare le capacità di cybersicurezza nell’UE.

I punti principali sono i seguenti.

  • Istituzione di un’Accademia, per promuovere le competenze in materia di cybersicurezza, che dovrebbe essere resa disponibile online.
  • Normativa rivolta alla cyber solidarietà, per migliorare il rilevamento degli incidenti di cybersicurezza significativi o su vasta scala e la preparazione e la risposta agli stessi attraverso la creazione di uno scudo europeo per la cybersicurezza e di un meccanismo globale per le emergenze di cybersicurezza.
  • Realizzazione di un’infrastruttura paneuropea composta da centri operativi di sicurezza nazionali e transfrontalieri in tutta l’UE (lo scudo europeo di cui al precedente capoverso, operativo dal 2024).
  • Creazione di un meccanismo per le emergenze di cybersicurezza (nell’ambito della cyber solidarietà).

Chi sviluppa IA deve mettere in atto protezioni contro intrusioni nel dati di addestramento

L’articolo Attenzione ad integrare Intelligenze Artificiali di terze parti nella propria impresa! mette in guardia sui pericoli per le informazioni nell’addestramento dell’Intelligenza Artificiale.

Le imprese che utilizzano l’Intelligenza Artificiale non la sviluppano autonomamente per ragioni di costi, bensì usufruiscono dei servizi di IA messi a disposizione dalle società che li sviluppano per fornirli ad una grossa quantità di clienti.

Ci sono situazioni (ad es. l’analisi o la redazione di un contratto) in cui vengono ad essere trattati dati personali, anche di categoria particolare. Ciò comporta di dover nominare Responsabile esterno del trattamento la società che, tramite il cloud, fornisce il servizio di IA.

E’ inoltre possibile che i dati siano trattati al di fuori della Comunità Europea, con la conseguente esigenza di verificare se il paese terzo è considerato “adeguato” ai sensi del GDPR, o se sussiste un’altra condizione di legittimità del trasferimento.

In definitiva è necessaria una valutazione di impatto e, se da questa deriva che permane un rischio elevato per i diritti e le libertà degli interessati, si deve procedere alla consultazione preventiva del Garante della privacy.

Ovviamente i soggetti interessati devono essere informati con un’informativa trasparente e che spieghi in maniera comprensibile i meccanismi con cui opera l’IA. Da qua la richiesta di consenso informato al trattamento [salvo non ne siano altrimenti verificate le basi giuridiche; ndr].

Infine è indispensabile che l’IA non produca decisioni automatizzate non validate da intervento umano, per non violare l’Art. 22 del GDPR.

I furti dal nostro c/c bancario possono non esserci risarciti se ci siamo fatti rubare le credenziali di accesso

Si riporta integralmente la prima parte dell’articolo Avere nozioni di base di sicurezza informatica è necessario anche per gli utenti << Una recente sentenza della Cassazione (7214 del 13 marzo 2023) ha posto in evidenza come, in caso di phishing, l’errore dell’utente possa avere una connotazione colposa tale da esonerare l’istituto di credito dalla responsabilità risarcitoria. Si tratta di un principio ormai piuttosto affermato anche nelle pronunce dell’Arbitro Bancario e Finanziario e dei Tribunali di primo grado e che oggi è, così, affermato in sede di legittimità. >>

L’articolo prosegue con una serie di esempi tratti da casi reali.

[Per estensione si potrebbe ritenere che la colpa per danni subiti da un’azienda per ransomware o altra pirateria informatica, perpetrata per furto delle credenziali ad un dipendente che non le ha custodite e protette correttamente, possa ricadere sul dipendente stesso. Ndr]

Il DPO visto come architetto della protezione dei dati

L’articolo L’architetto della protezione dei dati definisce, enfatizza la figura multidisciplinare dell’ “architetto della protezione dei dati” e ne promuove l’impiego da parte delle aziende, al fine di coprire sia le esigenze di rispetto dei requisiti del GDPR, sia quelle della sicurezza informatica.

L’autore suppone che il DPO possa rivestire tale ruolo, ampliando i compiti che gli sono affidati. [su questo potrebbe sorgere qualche dubbio, tenendo conto che il DPO non dovrebbe essere un esecutore ma un consulente che controlla l’applicazione del GDPR, suggerisce ed eventualmente coordina gli interventi necessari e riferisce alla direzione aziendale, in caso di verifica da parte del Garante risponde a questo e non all’azienda. Ndr]

L’articolo riporta quel che potrebbe essere il piano lavori per l’architetto della protezione dati e per il suo team.

Management dei progetti ICT basato su privacy by design e by default e sulle misure di sicurezza

L’articolo L’influenza della privacy sui progetti ICT sottolinea come nel project management di un progetto ICT [ma anche per altre tipologie di progetti] sia fondamentale tener conto delle fasi correlate alla privacy.

L’autore indica i corrispondenti obblighi derivanti dal GDPR e precisamente dagli articoli 25 e 35, relativi rispettivamente a privacy by design e by default ed alla messa in atto di tutte le misure tecniche e organizzative necessarie a garantire un livello di sicurezza adeguato al rischio. Le figure aziendali implicate e responsabili sono il project manager e il titolare del trattamento dei dati personali.

Il project manager dovrà tener conto degli obblighi di cui sopra anche durante la definizione dell’ambito del progetto, interpellando le figure con ruoli direzionali, il DPO e altre figure pertinenti. Potrà trarre beneficio dall’eseguire una DPIA (Data Protection Impact Analysis, valutazione di impatto della protezione dei dati) per tener conto dei rischi e definire scelte tecnologiche, organizzative e di cybersecurity, quali misure di mitigazione.

La minimizzazione dei dati nella privacy by design e by default

L’articolo La sfida della privacy by design e by default prende in considerazione l’Art. 3, par. 2, a) del GDPR, sulla conservazione (temporale) dei dati personali, e l’Art 25. relativo alla protezione dei dati sin dalla progettazione e per impostazione predefinita (privacy by design e by default).

L’aumento dei crimini informatici, più che il GDPR, spingono a riprogettare il sistema informativo aziendale, a protezione della disponibilità, integrità e riservatezza delle informazioni aziendali, in modo che, per quanto riguarda i dati, inclusi soprattutto quelli personali, siano limitati in quantità e nel tempo allo stretto indispensabile, in coerenza con le finalità del loro trattamento ed in antitesi con le funzionalità dei database che permettono di “tenere tutto e per sempre”. Questo approccio del “tenere solo il necessario” (in termini di dimensioni e di tempi)  permette una diminuzione delle superfici di attacco e costituisce una delle misure di protezione dei dati.

Raccomandazioni per l’utilizzo dell’Intelligenza Artificiale

Secondo l’articolo L’utilizzo dell’intelligenza artificiale impone valutazione d’impatto, privacy by design, e gli altri adempimenti previsti dal GDPR, l’utilizzo dell’Intelligenza Artificiale si diffonde anche nelle aziende, tuttavia è ancora uno strumento che può produrre anche dati non completamente affidabili. La sua applicazione deve implicare  una serie di  processi tali da garantire il rispetto del GDPR.

[Si rimanda all’articolo originale per quel che riguarda le P.A.; ndr].

Documentare per iscritto il rispetto della privacy by design e by default

  • Redigere la valutazione di impatto; in caso di rischi residui effettuare la consultazione preventiva al Garante
  • Tenere il registro del trattamento aggiornato
  • Tenere le informative aggiornate [le informative dovrebbero contenere anche un’indicazione circa gli algoritmi utilizzati; ndr]
  • Raccogliere il consenso esplicito se l’IA eseguire decisioni automatizzate [o semi automatizzate, che impattano anche con il Decreto Trasparenza; ndr]. Nel caso di utilizzo della IA per un trattamento dati dei dipendenti, il consenso potrebbe non essere sufficiente in quanto i dipendenti si trovano in una posizione di inferiorità rispetto al bilanciamento dei rapporti di forza tra titolare del trattamento ed interessati; quindi si dovrebbe prevedere un intervento umano di verifica delle decisioni. Ndr]
  • Gli incaricati al trattamento dovrebbero essere autorizzati in merito [dopo adeguata formazione; ndr]
  • I fornitori che mettono a disposizione il motore dell’IA devono sottoscrivere  un contratto di responsabilità esterna
  • Rispettare le norme sul trasferimento di dati personali verso paesi terzi [inclusa, quale ultima risorsa, la possibilità di richiedere un consenso esplicito agli interessati
  • Agevolare l’esercizio dei diritti degli interessati, in particolare quello di contestare le decisioni algoritmiche.

L’esercizio dei diritti, quali la cancellazione o la rettifica di dati è un punto particolarmente critico, visto che le richieste degli interessati dovrebbero essere trasmesse al gestore esterno dei servizi, con tutta probabilità anche non residente nella UE, specie per il fatto che uno dei principali gestori si è già dichiarato tecnicamente impossibilitato a fare rettifiche.

Gli interessati hanno a loro disposizione, se ritengono lesi i propri diritti, i reclami al Garante e, per richiesta di risarcimenti, il ricorso all’autorità giudiziaria.

I CRM che operano utilizzando l’IA sono a rischio privacy

Secondo l’articolo Intelligenza Artificiale & CRM: necessario garantire misure di sicurezza adeguate per la compliance al GDPR, molte società utilizzano un software CRM, Customer Relationship Management, per la gestione dei clienti, acquisiti e potenziali. Questo raccoglie, una grande quantità di dati personali identificativi quali nome, cognome, indirizzo di residenza, indirizzo mail, numero di cellulare. L’autore di questo articolo ne enfatizza l’utilità.

Tuttavia il CRM, specie se alimentato da Intelligenza Artificiale, raccoglie anche interi profili pubblici sui social network quali Facebook, IG, Linked-in, Twitter, TIK TOK e, quindi, anche dati di localizzazione oltre ad orientamenti abitudini, preferenze, gusti. Ciò espone ad una probabile violazione dei dati personali e richiede adeguate misure tecniche ed organizzative. [Tra i rischi di violazione ci sono l’utilizzo di dati personali di categoria particolare senza che ve ne sia la base giuridica per la sua legittimazione, la profilazione (gli interessati sono consenzienti?), la provenienza dei dati (viene comunicata? ne è autorizzato l’uso?), possibili decisioni automatiche (gli interessati sono consapevoli?), la consegna dell’informativa privacy (è illustrato l’algoritmo utilizzato dall’ IA?). Ndr]

Direttiva sulla sicurezza del network e dei sistemi informativi

L’articolo L’impatto privacy rispetto alla NIS 2 ricorda che è prevista in ottobre 2024 l’entrata in vigore della Direttiva NIS 2, relativa a prevenzione, risposta e resilienza agli incidenti di cybersecurity di operatori definiti come “Essenziali” e “Importanti”, che forniscono beni e/o servizi di specifica rilevanza per la collettività [tra i quali i fornitori di servizi digitali, ndr]. Questa nuova direttiva “rafforzerà gli obblighi di rendicontazione degli indicenti (entro 24 h) e proporrà nuovi strumenti per prevenire ed individuare le minacce informatiche e rispondere agli attacchi.

La normativa obbliga gli operatori, ad essa soggetti, ad introdurre misure tecniche, operative ed organizzative adeguate e proporzionate ai rischi esistenti, e prevede sanzioni pecuniarie (7-10 milioni di euro o 1,4%-2% del fatturato annuo) e interdittive (sospensione da funzioni dirigenziali, certificati, autorizzazioni per lo svolgimento delle attività pertinenti). Si tende alla massima responsabilizzazione dei soggetti coinvolti, ciò che rievoca l’accountability del GDPR.

Gli adempimenti previsti richiedono un notevole impegno, dalla verifica dei dati, processi e provvedimenti correnti, alla formazione degli incaricati e di chi potrebbe generare dei rischi, alla valutazione degli impatti e la definizione delle misure per ridurli anche  ambito della supply chain. E, per l’accountability, tutto questo dovrà essere documentato.

Il DPCM 81/2021 [Decreto del presidente del Consiglio dei Ministri] ha introdotto il “perimetro di sicurezza nazionale” per tutelare le infrastrutture critiche nazionali e a garantire un adeguato livello di protezione dei sistemi informativi di interesse strategico e contiene l’insieme di misure di sicurezza tecniche e organizzative obbligatorie per i soggetti inseriti all’interno di tale perimetro. Le misure organizzative, in particolare, sono fondamentali per garantire una gestione efficace dei rischi informatici e per instaurare una cultura della sicurezza all’interno dell’azienda.

Sempre più rischi dai cyber criminali

L’articolo Se hai un pacemaker gli hacker ti possono colpire dritto al cuore prospetta un’ipotesi inquietante, secondo la quale gli hacker, attraverso la connessione wireless, potrebbero accedere a pacemaker e defibrillatori mettendo a repentaglio il cuore dei portatori, sebbene lo scopo possa essere quello di colpire le aziende produttrici.

Gli assistenti vocali possono eseguire comandi non desiderati

Il consiglio dell’articolo Ecco quali sono i posti dove non installare mai ‘Alexa’ per tutelare la vostra privacy è di non posizionare questo assistente vocale vicino alle finestre, per impedire che qualche persona dispettosa o malintenzionata possa azionare comandi inappropriati, o vicino al televisore, per scongiurare l’attuazione casuale di comandi.

L’articolo mette in guardia inoltre dai rischi di tipo elettrico (e da altre intrusioni nella propria privacy), concludendo simpaticamente col suggerire di sconnettere ed impacchettare il dispositivo.

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Videosorveglianza e geolocalizzazione: indicazioni circa le autorizzazioni necessarie

L’articolo Le tutele sulla privacy dell’art. 4 dello Statuto dei Lavoratori vanno oltre il lavoro subordinato ma si fermano di fronte ai volontari riferisce che l’Ispettorato Nazionale del Lavoro ha fornito, con la nota n. 2572 del 14 aprile 2023, indicazioni sulle autorizzazioni per le installazioni di impianti/strumenti da cui derivi anche la possibilità di controlli a distanza dei lavoratori.

Gli argomenti contemplati, in pieno accordo con i regolamenti sulla privacy, sono i seguenti (per i dettagli si veda l’articolo originale).

  1. L’accordo con le organizzazioni sindacali è la via preferenziale per autorizzare il datore di lavoro (e titolare di trattamento) ad installare gli impianti/strumenti da cui derivi anche la possibilità di controlli a distanza delle attività dei lavoratori [secondariamente si può cercare di ricorrere all’autorizzazione diretta dell’Ispettorato del Lavoro; ndr]. Infatti, non è sufficiente il solo consenso degli stessi lavoratori, sui i quali il datore di lavoro esercita una posizione “di forza”.
  2. In presenza di più unità produttive nell’ambito dello stesso Ispettorato Territoriale del Lavoro, l’autorizzazione può essere estesa “in presenza di medesime ragioni legittimanti e avuto riguardo allo stesso sistema”, purché concrete. Per unità produttive su più ambiti ITL si ricorre ad autorizzazioni distinte, oppure ad una generale, richiesta all’INL, previo accordo con organizzazioni sindacali nazionali più rappresentative.
  3. Con un’ “istanza di integrazione” si può estendere l’autorizzazione, già ottenuta per una unità operativa, ad un’altra se l’impianto da installare e la ragione che lo legittima coincidono.
  4. Per un’impresa costituenda che non ha ancora assunto i lavoratori, la richiesta di autorizzazione deve indicare il numero di persone previsto. Nel caso di un impianto autorizzato per l’impiego in assenza di lavoratori, questo deve essere disattivato prima che questi vengano assunti.
  5. Nel caso di sistemi di geolocalizzazione (GPS) da installarsi sugli autoveicoli o su dispositivi (ad es., sistemi palmari, cellulari, computer, ecc.), i sistemi devono essere configurati “in modo da: escludere il monitoraggio continuo, consentire la visualizzazione della posizione geografica da parte di soggetti autorizzati solo quando strettamente necessario rispetto alle finalità perseguite; consentire, di regola, la disattivazione del dispositivo durante le pause e al di fuori dell’orario di lavoro; effettuare, di regola, i trattamenti mediante pseudonimizzazione dei dati personali (utilizzo di dati non direttamente identificativi); prevedere la memorizzazione dei dati raccolti solo se necessario e con tempi di conservazione proporzionati rispetto alle finalità perseguite”; ciò che è in coerenza con il principio di necessità di cui all’Art. 5 del GDPR. La nota afferma altresì che “la posizione del veicolo di regola non dovrebbe essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il perseguimento delle finalità legittimamente perseguite”. E’ implicito che questi sistemi debbano essere preventivamente autorizzati, pur senza la necessità di specificare le targhe dei veicoli.
  6. Le tutele degli interessati, sottoposti ad impianti di videosorveglianza, devono essere garantite anche quando la loro installazione è obbligatoria (caso delle sale scommesse, a tutela dei minori e degli anziani).
  7. La disciplina si applica anche ai lavoratori autonomi che erogano prestazioni lavorative tramite piattaforme digitali.
  8. Le tutele non si applicano ai volontari, se non quelle previste per la privacy e protezione dei dati personali.

La privacy come diritto fondamentale nell’era dell’Intelligenza Artificiale guardando anche oltre il GDPR

Ancora tanta strada davante all’IA che utilizza dati personali

Il lungo articolo La privacy come diritto fondamentale nell’era dell’Intelligenza Artificiale guardando anche oltre il GDPR in definitiva auspica che il Regolamento, in corso di approvazione, sull’uso armonizzato della AI nell’ambito del mercato unico digitale europeo, oltre a tener conto, necessariamente, delle prescrizioni del GDPR, garantisca anche la piena tutela dei diritti fondamentali delle persone nell’ambito digitale.

L’ormai noto provvedimento del Garante italiano nei confronti del servizio ChatGPT di OpenAI mostra che il provider di servizi di AI deve fornire un’informativa privacy adeguata all’uso ed al trattamento di dati personali dell’utente o di terzi e circa le modalità di accesso a tali dati; deve garantire la possibilità di esercitare l’eventuale diritto di rettifica o di richiesta di cancellazione e deve verificare l’età degli utenti al fine di rispettare in concreto le regole a protezione dei minori. Tuttavia, i rischi insiti nell’AI (non totale affidabilità delle risposte, decisioni automatizzate non verificate da intervento umano, possibili pregiudizi per la salute mentale degli utenti, possibili attacchi informatici finalizzati a produrre false informazioni) impongono nuove regole vincolanti e nuove misure di vigilanza. Fra queste, la garanzia della reale identità dei soggetti che operano in rete e con i quali si interagisce, delle loro modalità di azione e delle loro finalità.

 

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

L’articolo Il ruolo del Data Protection Officer nel contesto di un’attività ispettiva del Garante Privacy avverte che, in caso di ispezione del Garante (o della Guardia di Finanza, da lui delegata), la procedura aziendale di “collaborazione con l’autorità” deve prevedere l’immediato coinvolgimento del DPO (Data Protection Officer). Questo, infatti, deve cooperare con l’autorità di controllo e fungere da punto di contatto con questa, essendo facilmente raggiungibile (non necessariamente in presenza, ma deve essere in grado di collaborare efficientemente con le parti in causa, utilizzando mezzi di comunicazione idonei e sicuri).

Limitazioni sulla comunicazione dei dati retributivi dei dipendenti

L’articolo I sindacati non possono conoscere i nominativi dei dipendenti che ricevono una retribuzione accessoria riporta alcune precisazioni del Garante in merito alla riservatezza relativa ai dati dei dipendenti e si rivolge agli istituti scolastici. Tuttavia alcune indicazioni generali fornite sono applicabili a qualsiasi organizzazione.

L’organizzazione non può trasmettere ai sindacati i nominativi, e tantomeno gli importi, dei dipendenti che ricevono una comunicazione accessoria, se non in modo aggregato ed anonimo.

Le comunicazioni -anche elettroniche- al personale che contengono dati personali, specie se sensibili, devono essere indirizzate individualmente e non su account condivisi. Le comunicazioni cartacee non richiedenti firma per ricevuta dovrebbero essere rimesse in busta chiusa.

L’articolo prosegue con specificità relative alle scuole.

Semplificazioni per le amministrazioni del personale, circa l’applicazione del Decreto Trasparenza

L’articolo Decreto Trasparenza, per informare i lavoratori basta il rinvio ai contratti riferisce che il Decreto del Lavoro (DL 48/23), pubblicato il 24 maggio scorso, semplifica gli adempimenti relativi al Decreto Trasparenza, permettendo al datore di lavoro di fornire, anziche le informazioni estese, i soli riferimenti alla legge o al contratto collettivo di riferimento, in merito a:

– durata del periodo di prova;
– diritto di ricevere la formazione del datore di lavoro;
– durata del congedo per ferie e degli altri congedi retribuiti cui ha diritto il lavoratore;
– procedura, forma e durata del preavviso in caso di licenziamento e dimissioni;
– indicazione dell’importo iniziale della retribuzione e dei relativi elementi costitutivi;
– termini e modalità di pagamento delle retribuzioni;
– informazioni in tema di orario di lavoro;
– indicazione degli enti e degli istituti che raccolgono i contributi previdenziali e assicurativi.
 Mentre le informazioni che il datore dovrà continuare a comunicare direttamente al lavoratore restano:
– identità delle parti;
– luogo di lavoro;
– inquadramento e mansioni;
– durata del rapporto; tipologia contrattuale.

Le amministrazioni del personale vedano maggiori dettagli nell’articolo originale. [Non si fa comunque menzione circa le informazioni sull’eventuale utilizzo di sistemi decisionali o di monitoraggio automatizzati; ma è deducibile che si debba continuare a darle in modo esaustivo. Ndr]

Decreto Trasparenza: informazioni ai lavoratori anche sui sistemi di monitoraggio decisionali non integralmente automatizzati

L’informazione ai lavoratori circa sistemi decisionali è dovuta anche se questi sono solo parzialmente automatizzati

Il pezzo editoriale Decreto Trasparenza: informazioni ai lavoratori anche sui sistemi di monitoraggio decisionali non integralmente automatizzati cita che l’articolo 26 “Semplificazioni in materia di informazioni e di obblighi di pubblicazione in merito al rapporto di lavoro” del D.L. 48 del 4 maggio 2023 modifica, tra l’altro, un articolo del vecchio D.Lgs 152 del 26 maggio 1997, specificando, tra gli obblighi informativi del datore di lavoro nei confronti dei dipendenti, quello relativo all’’utilizzo di <<sistemi decisionali o di monitoraggio integralmente automatizzati>> che implichino un processo decisionale. Ciò sembrerebbe alleggerire le prescrizioni del D.Lgs 104 del 27 giugno 2022 -cosiddetto Decreto Trasparenza- che, in merito, parla genericamente di sistemi automatizzati, portando quindi a pensare che  l’obbligo di informazione non sussista qualora tali sistemi siano solo parzialmente automatizzati.

L’autore sostiene tuttavia che devono essere comunicati anche i processi non interamente automatizzati, in forza degli Art. 13 e 15 del GDPR, relativi all’obbligo di informazione rispettivamente preventiva e su richiesta dell’interessato, relativi a <<l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.>>. Oltre all’obbligo di informazione devono essere rispettati tutti i requisiti del GDPR in merito.

I requisiti privacy a cura il Medico Competente

Rimandando all’articolo originale (La privacy e la tutela della salute e sicurezza sul lavoro con focus sulla figura del medico competente, anche alla luce del DL 48/2023) per le prescrizioni previste dal D.Lgs. 81/2008 (Testo Unico sulla Salute e Sicurezza sul Lavoro – TUSSL) a carico del Medico Competente e del Datore di Lavoro, ci si limita qua a considerare gli aspetti relativi alla privacy [ndr].

il Garante privacy ha già chiarito che il MC riveste il ruolo di titolare autonomo del trattamento; come medico è tenuto al segreto professionale, aspetto che implica il rispetto della privacy degli interessati e che non deve seguire invece istruzioni da parte del datore di lavoro, rispetto al quale deve mantenere autonomia. Le basi legali del trattamento dei dati personali (di categoria particolare) derivano dall’Art 9 del GDPR << le finalità di “medicina del lavoro [e] valutazione della capacità lavorativa del dipendente >> e dall’Art. 2-sexties del Codice Privacy (D.Lgs 196/2003 << motivi di interesse pubblico rilevante >>.

È responsabilità del MC istituire, aggiornare e custodire, per ogni lavoratore sottoposto a sorveglianza sanitaria, le cartelle sanitarie e di rischio, che possono essere tenute in modalità elettronica o cartacea.

Con il D.Lgs 48/2023 (”Misure urgenti per l’inclusione sociale e l’accesso al mondo del lavoro”) è stato definito che il MC, << per gravi e motivate ragioni >>, può delegare ad un proprio sostituto per un periodo di tempo prefissato. Inoltre, << in occasione delle visite di assunzione, [il MC] richiede al lavoratore la cartella sanitaria rilasciata dal precedente datore di lavoro e tiene conto del suo contenuto ai fini della formulazione del giudizio di idoneità >>, ciò che implica l’obbligo di consegna della cartella ai lavoratori uscenti.

Tra i requisiti del GDPR che comportano adempimenti per il MC, emergono i seguenti:

  • redazione e aggiornamento del Registro del trattamento dati personali (ben distinto da quello redatto dal datore di lavoro),
  • consegna dell’informativa privacy agli interessati, anche in occasione della prima comunicazione, se (sulla base del D.lgs. 81 e delle norme sul rapporto di lavoro)  non ne sono già in possesso,
  • adozione delle misure di sicurezza per la protezione dei dati,

mentre non è necessario che il MC provveda alla nomina del DPO se opera individualmente com professionista e se la sua attività non è su larga scala.

La vendita [o il baratto]  dei dati personali sono legittimi?

L’articolo Data Exchange: il valore dei dati personali nei contratti di servizi digitali e nell’intelligenza artificiale evidenzia il contrasto tra il Codice del Consumo (D.Lgs 205/2005), che prevede che il provider fornisca un contenuto o un servizio digitale al consumatore in cambio dei suoi dati personali, ed il GDPR, per cui la protezione dei dati personali è un diritto fondamentale e non è contemplata la “proprietà” del dato personale come fonte di utilità e di (possibile) sfruttamento economico.

No alla rilevazione presenze tramite impronta digitale, se manca il consenso

L’articolo Cassazione: il datore di lavoro non può imporre ai dipendenti il rilevamento dell’impronta digitale fa presente che non basta l’assenso generico dei lavoratori ai fini di un trattamento di dati effettuato con mezzi elettronici: è necessario il consenso degli interessati per l’impiego della rilevazione biometrica, a causa dei rischi specifici per i diritti, le libertà fondamentali delle persone.

Viceversa l’ordinanza della Cassazione ritiene legittimo l’utilizzo di un badge [con micro circuito elettronico] che è nell’esclusiva disponibilità dei dipendenti [oggi si guarda a tecnologie più avanzate per l’utilizzo di smartphone e tablet come “badge virtuali”. Ndr]

Una guida per il corpo docente sui requisiti privacy

L’articolo ‘La scuola a prova di privacy’: on line il vademecum del Garante informa che insegnanti ed altri operatori scolastici possono avvalersi del vademecum “Scuola a prova di privacy”, scaricabile dalla pagina web del Garante della Privacy La scuola a prova di privacy – Vademecum ed. 2023.pdf.

Questa guida è finalizzata ad assicurare la protezione dei dati delle persone che studiano e lavorano nelle istituzioni scolastiche, comprende le innovazioni normative, il corretto utilizzo delle nuove tecnologie ed esamina aspetti preoccupanti quale il cyberbullismo.

E’ significativo il supporto del DPO nella gestione di un data breach

Come non incorrere nel “panico organizzativo” quando ci si trova davanti ad un data breach? L’autore dell’articolo Data breach e il ruolo del Data Protection Officer nella gestione delle comunicazioni elenca alcuni suggerimenti che coinvolgono il Data Protection Officer.

Intanto l’azienda deve aver predisposto preventivamente misure organizzative di gestione della violazione con il supporto del DPO. Questo poi deve fungere da facilitatore della comunicazione interna ed esterna (interessati, autorità di controllo, media). Deve assicurare la completezza e la tempestività delle azioni di rimedio [blocco dell’attacco, se di questo si tratta, e recovery; ndr]. Oltre all’assegnazione di ruoli e responsabilità, è importante la formazione continua, ai fini della consapevolezza e responsabilizzazione.

Il titolare risponde di eventuali comportamenti difformi dalle indicazioni del DPO, in merito ad esempio ai requisiti normativi, alla notifica al Garante, alla comunicazione agli interessati.

Intelligenza Artificiale: si va verso un regolamento europeo

L’articolo Nel Regolamento UE sull’intelligenza artificiale il divieto di identificazione biometrica real time e il riconoscimento facciale delle emozioni informa che il Parlamento europeo ha approvato da poco l’accordo preliminare del regolamento sull’Intelligenza Artificiale ai fini dello sviluppo, della commercializzazione e dell’uso dei sistemi di IA.

Nello stesso accordo, pone dei limiti per tutelare la privacy dei cittadini e categorizza i sistemi di IA in base al rischio basso, medio e alto. Sarà vietato il monitoraggio biometrico in tempo reale realizzato con l’IA, in spazi aperti al pubblico. Saranno vietati anche i sistemi che consentono il riconoscimento di emozioni e quelli che utilizzano dati di categoria particolare, con ciò impedendo anche sistemi di polizia predittiva per la prevenzione dei reati [è sempre una questione di bilanciamento: più privacy e meno sicurezza, o viceversa; ndr]. Sarà vietato il prelievo in massa di dati biometrici da social media o filmati per creare database di riconoscimento facciale.

Si perseguono inoltre maggior trasparenza e il rispetto dei diritti di autore.

[Riguardo ai divieti ben vengano a tutela dei cittadini, ma quante saranno le imprese extraeuropee, più o meno tollerate o addirittura sostenute dai propri governi, che non ne terranno conto, con evidente disparità di “potenza cibernetica offensiva” ? Ndr]

 

IN BREVE, DALL’ITALIA E DAL MONDO

Il chatbot ChatGPT è di nuovo operativo

L’articolo ChatGPT adempie alle prescrizioni del Garante Privacy e riapre in Italia garantendo più trasparenza e più diritti a utenti e non utenti europei informa che, dopo il provvedimento di limitazione temporanea dello scorso 11 aprile, OpenAI ha rimesso online in Italia la app di intelligenza artificiale ChatGPT. Infatti ha messo in atto miglioramenti richiesti dal Garante, quali una serie di informazioni aggiuntive, la modifica e chiarimento di alcuni punti, la messa a disposizione degli utenti di soluzioni accessibili per l’esercizio dei loro diritti.

Nonostante l’apprezzamento dell’Autorità di controllo, l’istruttoria non è chiusa poiché ancora mancano l’implementazione di un sistema di verifica dell’età e la pianificazione e realizzazione di una campagna di comunicazione finalizzata a informare tutti gli italiani dell’accaduto e della possibilità di opporsi all’utilizzo dei propri dati personali ai fini dell’addestramento degli algoritmi.

Certificarsi per il GDPR ha i suoi benefici

Secondo l’articolo Le aziende certificate sulla privacy si mantengono competitive e guadagnano la fiducia degli utenti, le aziende virtuose si pongono in una posizione di vantaggio sul mercato.

 

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Una società spagnola è stata sanzionata per 12 mila Euro per aver controllato il rispetto dei turni di lavoro e la produttività dei propri dipendenti, a loro insaputa, utilizzando la tecnologia del riconoscimento facciale [stavolta l’importo della sanzione appare persino esiguo rispetto alla gravità della violazione; evidentemente il fatturato, su cui possono essere applicate le percentuali per definire l’ammenda, era basso. Ndr]
  • Negli Stati Uniti la Federal Trade Commission (FTC) tenta di impedire che Facebook monetizzi i dati dei bambini, accusandolo di fuorviare i genitori sulla protezione dei minori.
  • Con un attacco informatico scagliato contro la ASL 1 Abruzzo, sono stati sottratti 522 gigabyte di informazioni sensibili dei pazienti. Un successivo articolo avverte: anche chi scarica dati dal dark web commette un reato.
  • L’European Data Protection Board ha annunciato una sanzione astronomica (1,2 miliardi di €) nei confronti di Meta, a causa del trasferimento negli Stati Uniti di dati di cittadini europei da parte di Facebook.
  • Negli USA, una app ha inviato dati sanitari ad aziende cinesi, ovviamente senza il consenso degli interessati [a dimostrazione, l’ennesima, che ci si accorge delle violazioni quando il danno è fatto; ndr].

ing. Michele Lopardo

Responsabile Qualità @ Wondersys