PUBBLICITA’ E PRIVACY

Non basta leggere la sintesi dell’informativa privacy su Play Store, prima di scaricare applicazioni

Lo scrupolo con cui si possono leggere le informative privacy prima di scaricare una app a poco serve se le le etichette per la privacy delle applicazioni disponibili sul Play Store di Android non sono allineate alle informative pubblicate dagli sviluppatori sui rispettivi siti web. L’articolo L’80% delle informazioni sulla privacy delle app pubblicate sul Play Store sono false o ingannevoli afferma che, da uno studio effettuato da un gruppo di ricerca di Mozilla, pare che per l’80% de dei casi sia proprio così.

Ciò non riguarda solo applicazioni minori, ma anche le più note e scaricate.

Attenzioni a come nei siti web sono formulate informative e consensi, diritti degli interessati e modalità per esercitarli

L’articolo Attenzione ai modelli ingannevoli che violano la privacy nelle interfacce dei social media: pubblicate le Linee Guida 03/2022 informa che lo scorso febbraio sono state pubblicate, dall’European Data Protection Board, le definitive Linee Guida 003/22 “on deceptive design patterns in social media platform interfaces: how to recognise and avoid them”, in rev. 02, sui metodi di progettazione ingannevoli nelle interfacce di piattaforme di social media. Da notare la sostituzione, nel titolo, del termine dark pattern” con “deceptive design patterns” [modelli di design ingannevoli, per influenzare gli utenti a prendere decisioni non intenzionali e potenzialmente dannose], ampliando così l’ambito di applicazione.

Questi modelli ingannevoli sono:

  1. Overloading – gli utenti si trovano di fronte a una grande quantità di richieste, informazioni, o possibilità per spingerli a condividere più dati o consentire involontariamente il trattamento dei dati personali contro le loro aspettative.
  2. Skipping – quando l’interfaccia o il percorso dell’utente è progettato in modo che gli utenti dimentichino o non pensino a tutti o ad alcuni aspetti della protezione dei dati.
  3. Stirring – tecnica che influisce sulla scelta che gli utenti farebbero facendo appello alle loro emozioni o utilizzando spinte visive.
  4. Obstructing – la piattaforma ostacola o blocca gli utenti nel loro processo di informazione o gestione dei loro dati personali, rendendo l’azione difficile o impossibile da realizzare.
  5. Fickle – design dell’interfaccia incoerente e non chiaro, che rende difficile per l’utente navigare tra i diversi strumenti di controllo della protezione dei dati e comprendere lo scopo del trattamento. Tra i tipi di design pattern ingannevoli vi sono la mancanza di gerarchia, la decontestualizzazione, l’interfaccia incoerente e la discontinuità linguistica.
  6. Left in the Dark – interfaccia progettata in modo da nascondere le informazioni o gli strumenti di controllo della protezione dei dati o da lasciare gli utenti nell’incertezza su come vengono trattati i loro dati e sul tipo di controllo che possono avere su di essi per quanto riguarda l’esercizio dei loro diritti. Tra i design pattern ingannevoli di questa categoria rientrano le informazioni contrastanti e la formulazione di informazioni ambigue.

Dunque, queste Linee Guida, oltre che agli utenti, servono ai produttori onesti di social media, che vogliano evitare di ricorrere [magari inavvertitamente] in modelli di design ingannevoli e alle Autorità di Controllo per sanzionare i siti mancanti di trasparenza sulla privacy.

 

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Proteggere i dati sensibili prima dell’invio di un computer alla riparazione

A fronte dell’affermazione contenuta nel titolo dell’articolo Privacy a rischio anche per una semplice riparazione del computer: il 37.5% dei tecnici dell’assistenza curiosano nei dispositivi dei clienti, è consigliabile intraprendere alcune misure alternative, o in alcuni casi concomitanti, a protezione dei dati riservati (dati aziendali e/o dati personali sensibili) prima di consegnare il proprio computer, personale o in dotazione, al servizio di assistenza di un negozio o di un produttore.

  1. Verificare in rete opinioni e recensioni del negozio locale per verificarne la reputazione.
  2. Se è possibile ancora accedere ai dati e utilizzare il computer prima di portarlo a riparare fare un backup dei dati e rimuovere i file più critici.
  3. Rimuovere tutti i dispositivi di archiviazione esterna.
  4. Utilizzare un software di crittografia per proteggere i file.
  5. Nei casi più estremi, utilizzare un software di cancellazione sicura per eliminare tutti i dati personali dal computer (dopo aver fatto il backup) e le tracce delle ultime attività online.
  6. Non condividere le password se non è necessario per effettuare la riparazione.

Big Data e ChatGPT mettono a rischio il metodo scientifico?

Nella prima parte, l’articolo Fra Big Data e ChatGPT: nuovi rischi sulla privacy e nuove responsabilità per i Data Protection Officer esprime considerazioni e riferisce di altri articoli in merito al fatto che l’utilizzo di informazioni estratte dai big data per estrapolare previsioni future attraverso correlazioni (incluse, purtroppo, le fake news), mettere almeno in parte a rischio l’uso del metodo scientifico, il quale si basa invece sulla formulazione di ipotesi a partire da osservazioni e sulla costruzione di teorie che vengono confermate o falsificate dalle evidenze empiriche.

Nella seconda parte, l’articolo tratta della ChatGPT (una chatbox conversazionale ad apprendimento, per quanto noto, automatico ma anche supervisionato e per rinforzo) sviluppata da OpenAI , in grado di conversare e fornire risposte articolate. In questi giorni, in alcuni momenti, è talmente ricercata da non poter processare tutte gli accessi e le richieste. [In effetti, sperimentata per avere informazioni su codice e configurazioni in ambito IT, la ChatGPT ha fornito in prevalenza risposte adeguate per completezza e pertinenza. Ndr]. Un professore intervistato consiglia che chatGPT non sia bandita dalle scuole, bensì insegnata: la scuola dovrebbe fornire la capacità di discernimento per usare al meglio le nuove tecnologie.

Tuttavia sul portale del Garante della privacy si avverte che per accedere al servizio è indispensabile lasciare un indirizzo e-mail e attivare un account ed è certo che il servizio archivia la cronologia delle domande formulate. E’ significativo, infine, vedere che la stessa chatGPT, in risposta alla domanda “Quali sono i rischi per la privacy delle persone connessi ai big data e a ChatGPT?” risponde

<<< I rischi per la privacy associati ai big data e ai modelli di lingua come ChatGPT includono:

  1. Raccolta eccessiva di informazioni personali
  2. Uso improprio delle informazioni raccolte
  3. Intercettazioni o furto di informazioni personali da parte di terze parti
  4. Profilazione invasiva basata sull’analisi dei dati
  5. Discriminazione basata sull’analisi dei dati

È importante che le aziende che gestiscono questi dati e modelli adottino misure di sicurezza adeguate per proteggere la privacy dei loro utenti.>>>

In seguito, la risposta potrebbe essere affinata a fronte del progressivo autoapprendimento da parte di chatGPT.

Manutenzione della casella di posta elettronica, per evitare che si blocchi e che diventi un archivio di durata illimitata

Un ente pubblico non aveva risposto entro il termine di un mese, previsto dal GDPR, alla richiesta di accesso ai propri dati effettuata per email dal soggetto interessato, perché la casella email preposta al ricevimento delle richieste era piena, quindi non più idonea alla ricezione dei messaggi. Da qua il pronunciamento del Garante Belga (applicabile anche in Italia, in quanto relativo al GDPR).

L’autore dell’articolo Un disservizio dell’email può costituire un data breach e violare il GDPR osserva che le scuole devono monitorare costantemente la posta elettronica, essere in grado di scoprire rapidamente eventuali disservizi in corso e intervenire velocemente per il ripristino della funzionalità in caso di interruzioni, scongiurando la perdita di comunicazioni. [Si rileva che ciò vale per qualsiasi casella di posta elettronica il cui indirizzo sia stato indicato per rivolgere, al Titolare del trattamento, richieste per l’esercizio dei propri diritti in merito alla privacy. Ndr]

Inoltre, come il Garante della privacy italiano ha più volte sottolineato, le caselle e-mail non sono sistemi di archiviazione; quindi le email non devono essere utilizzate come deposito delle comunicazioni, ricevute e inviate, da conservare senza limiti di tempo.

Dagli attacchi informatici deriva un numero ancor più elevato di incidenti da essi generati

Come si desume dal titolo dell’articolo In Italia il numero di incidenti informatici supera quello degli attacchi stessi, il numero di incidenti informatici in Italia, ossia gli attacchi andati a buon fine, ha superato nel 2022 quello degli attacchi stessi. Ciò si spiega considerando il crescente lasso di tempo che intercorre tra il momento dell’attacco stesso e l’incidente. Un commentatore afferma che possono trascorrere anche due anni e che, a fronte di questo ritardo, è difficile ricondurre un incidente a un attacco specifico. Inoltre, per “attacco” si intende l’insieme di azioni intraprese per compromettere un servizio (quali, ad esempio, una campagna di phishing, indirizzata a molti target, verrà contabilizzata come un solo attacco); con il termine “incidente” si rileva che un attacco ha avuto successo, pertanto nel caso di un attacco che abbia avuto successo su diverse entità verranno contabilizzate tutte le istanze di incidenti nei confronti delle varie vittime.

Il cybercrime a scopo di lucro si conferma la motivazione principale che porta gli hacker a compiere azioni malevoli. Anche il fatto che i reati informatici possono essere perpetrati attraverso l’ausilio di tecniche e strumenti acquisibili in rete e la guerra cibernetica in atto (per il conflitto Russo-Ucraino) sono cause dell’incremento degli attacchi informatici.

I più colpiti sono le aziende finanziarie, gli istituti bancari, le piattaforme di criptovalute, dato che gestiscono importanti quantità di denaro; essi sono peraltro soggetti a regolamenti più stringenti e, in caso di violazione, a pesanti sanzioni e a perdita d’immagine. Seguono, nell’ordine il settore software/hardware, l’Industria e la pubblica amministrazione.

Per quanto riguarda i danni provocati da incidenti informatici, prevale su tutto il furto di dati. Quindi si hanno il danno economico e l’interruzione del servizio.

La principale tecnica di attacco è il phishing-social engineering, spesso associata al ransomware che, preso il controllo di un computer o di un sistema, esegue la crittografia dei dati e pretende un riscatto per fornire la chiave per decriptarli.

I periodi dell’anno in cui maggiormente si verificano attacchi sono agosto e tutti quelli in cui il personale è ridotto e diminuisce la capacità di risposta delle aziende.

Le chatBox vanno usate con precauzione e i minori devono essere protetti

L’autore dell’articolo I rischi sulla privacy delle chatbot: da Replika a ChatGPT prima prende in esame Replika, app tipo chatbot dotata di un algoritmo di intelligenza artificiale programmato per creare “un amico virtuale”, che è stata oggetto di un recente provvedimento di limitazione provvisoria del trattamento dei dati, da parte del Garante. Infatti, contro presunti benefici circa la possibilità di ridurre l’ansia degli utenti, Replika presenta concreti rischi per i minori d’età, a partire dalla possibili risposte assolutamente inidonee al loro grado di sviluppo e più in generale per le caratteristiche dell’algoritmo di influenzare l’umore di una persona. Inoltre Replika non effettua alcuna gestione dell’età degli utenti, per scongiurarne l’uso da parte dei minori, in quanto non c’è neppure la possibilità di inserire l’età.

Quindi viene presa in considerazione ChatGPT, un’applicazione programmata per simulare un dialogo tra due persone, con funzionamento basato su GPT_3 (Generative Pre-trained Transformer 3), un modello algoritmico per l’elaborazione del linguaggio naturale, addestrato utilizzando un’enorme quantità di dati. A fronte di una elevata chiarezza espositiva, si hanno, da ChatGPT, risposte apparentemente ineccepibili, ma non sempre corrette o, peggio, ancora del tutto scorrette, ciò che comporta il rischio di una disinformazione generalizzata. [Si deve dedurre che è opportuno non utilizzare ChatGPT? Forse no, ma è opportuno vagliare adeguatamente le risposte per verificarne la veridicità! Ndr]

Aggiornamento alla direttiva UE per la cybersicurezza nei paesi membri

L’articolo Cybersecurity, il Parlamento Ue approva la Direttiva NIS 2 informa circa la nuova edizione della Direttiva NIS, che tiene conto dell’evoluzione sia della digitalizzazione che delle minacce cyber. Gli attacchi informatici provengono sia da fonti interne, che esterne alla UE.

Già con la precedente edizione sono stati messi in evidenza il basso livello di cyber resilienza nelle imprese, i differenti livelli di sicurezza tra i diversi stati membri e diversi settori, la scarsa consapevolezza della situazione e la mancanza di una risposta comune alle crisi.

Con la nuova Direttiva, le autorità competenti non hanno più l’obbligo di individuare gli operatori di servizi essenziali, ma devono armonizzazione i requisiti di sicurezza e segnalazione ed estendere la vigilanza a nuovi soggetti e settori.

In particolare la Direttiva:

  1. stabilisce obblighi per gli Stati membri di adottare una strategia nazionale per la cybersicurezza, designare autorità nazionali competenti, punti di contatto unici e CSIRT [team di risposta agli incidenti di sicurezza informatica];
  2. prevede che gli Stati membri stabiliscano obblighi di gestione e segnalazione dei rischi di cybersicurezza per i soggetti indicati come soggetti essenziali nell’allegato I e come soggetti importanti nell’allegato II;
  3. prevede che gli Stati membri stabiliscano obblighi in materia di condivisione delle informazioni sulla cybersicurezza.

I settori essenziali elencati nell’allegato I sono: energia; trasporti; settore bancario; infrastrutture dei mercati finanziari; settore sanitario, acqua potabile; acque reflue; infrastrutture digitali; pubblica amministrazione e spazio. I soggetti importanti dell’allegato II sono: servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di prodotti chimici; produzione, trasformazione e distribuzione di alimenti; settore della fabbricazione e fornitori di servizi digitali. Questi soggetti hanno l’obbligo di adottare misure tecniche e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete e di notificare alle autorità nazionali competenti o ai CSIRT qualsiasi incidente di cybersicurezza che abbia un impatto significativo sulla fornitura dei loro servizi.

La raccomandazione 2003/361/CE della Commissione Europea esclude le microimprese e le piccole imprese dall’applicazione della direttiva, ad eccezione dei fornitori di reti di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico, dei prestatori di servizi fiduciari, dei registri dei nomi di dominio di primo livello TLD (Top-Level Domain [es. com, org o net]) e della pubblica amministrazione, nonché di alcuni altri soggetti. I registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio per i TLD devono raccogliere e mantenere dati di registrazione dei nomi di dominio accurati e completi.

Gli Stati devono designare i CSIRT e questi dovrebbero favorire la divulgazione coordinata delle vulnerabilità tra i soggetti segnalanti e i fabbricanti o fornitori di prodotti e servizi ICT.

Devono essere designate anche le autorità nazionali competenti responsabili della gestione di incidenti e crisi di cybersicurezza su vasta scala e quelle competenti in materia di cybersicurezza per i compiti di vigilanza previsti dalla direttiva e un punto di contatto unico nazionale in materia di cybersicurezza (SPOC –  Single Point Of Contact).

Due ore di suggerimenti su cybersecurity e privacy

A questo link è disponibile il video integrale dell’incontro online “Cybersecurity & Privacy: due facce della stessa medaglia” organizzato da Federprivacy che ha affrontato i temi della cybersecurity e della protezione dei dati. Maggiori dettagli nell’articolo Disponibile il video integrale del seminario online su Cybersecurity & Privacy.

Il Vishing è una truffa sempre più diffusa

Secondo l’articolo I suggerimenti del Garante della Privacy per proteggersi dal Vishing, il Garante della Privacy ha pubblicato una guida per difendersi dal vishing, forma di truffa sempre più diffusa con cui i criminali utilizzano il telefono per appropriarsi di informazioni bancarie o legate alle carte di credito e sottrarre somme di denaro.

Con la scusa di presunte anomalie da sanare o di misure di sicurezza da intraprendere, i truffatori procedono attraverso le seguenti metodologie alternative:

  • chiedono al telefono di fornire i dati del conto corrente o della carta di credito, con conseguenze immaginabili,
  • inviano per SMS un codice che il malcapitato dovrebbe rileggere alla successiva chiamata telefonica del truffatore. Così facendo si autorizzano trasferimenti di denaro,
  • inviano un SMS con un link a un form fasullo dove si dovrebbero inserire dati, che poi consentono accessi o transazioni bancarie,
  • richiedono di di scaricare e installare app che dovrebbero servire per proteggere conti e carte di credito, ma che in realtà possono operare come trojan o consentono di accedere ai programmi con cui si gestiscono internet banking e carte di credito,
  • lasciano messaggi sulla segreteria telefonica chiedendo di richiamare urgentemente un numero telefonico, tramite il quale verranno chiesti i soliti dati bancari

Tra le precauzioni da adottare:

  • tener presente che istituzioni e aziende chiamano di solito da numeri fissi e comunque con prefissi nazionali, in caso contrario si deve sospettare,
  • diffidare delle chiamate con toni intimidatori che minacciano la chiusura del conto bancario, il blocco della carta di credito o eventuali sanzioni,
  • se si ricevono mail o messaggi (anche in segreteria telefonica) che chiedono di richiamare determinati numeri telefonici, controllare sempre prima se tali numeri corrispondono a quelli ufficiali, oppure rivolgersi al centralino dell’azienda o dell’istituzione cui è fatto riferimento,
  • evitare di richiamare numeri sconosciuti, soprattutto nel caso di telefonate mute con caduta immediata della linea e se la numerazione ci appare anomala,
  • controllare spesso le movimentazioni bancarie e delle carte di credito e attivare sistemi di alert automatico che avvisano l’utente circa ogni operazione effettuata,
  • se si ha il dubbio di essere stati o poter essere vittime di vishing, contattare immediatamente la banca o il gestore della carta di credito attraverso canali propri di comunicazione e, in caso di sottrazione di denaro, richiedere il blocco delle transazioni.

 

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

No alla rilevazione presenze mediante impronta digitale

Secondo l’articolo Stop all’uso dei dati biometrici per identificare i lavoratori, Dall’ordinanza ingiunzione del 22 novembre del 2022, pronunciata dal Garante della Privacy, emerge che l’introduzione di un sistema di timbratura per rilevare le presenze con terminale biometrico (rilevamento delle impronte digitali, immagine facciale, riconoscimento vocale, body scanner), per dipendenti e collaboratori, con lo scopo di registrare l’accesso e la presenza in azienda, è un trattamento illegittimo di dati, perché privo di valida base giuridica, oltre che contrario ai principi di liceità, necessità e proporzionalità.

In pratica, non essendo valido il legittimo interesse del titolare (si tratta di dati particolari) e neppure il consenso degli interessati (per il diverso rapporto di forza tra il datore di lavoro e il lavoratore) ed essendo oltretutto il trattamento di dati biometrici sproporzionato rispetto alle finalità, affinché tale trattamento sia legittimo, è necessario che lo stesso trovi il proprio fondamento in una disposizione normativa specifica e conforme al GDPR.

Secondo il Dlgs 101/2018, il Garante della Privacy dovrebbe definire in merito misure di garanzia con apposito provvedimento adottato a cadenza biennale, provvedimento che è ancora da venire.

 

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Il consenso degli interessati è necessario anche se le liste sono state acquistate

Indipendentemente dal caso specifico di cui all’articolo La scure del Garante della Privacy si abbatte su Altroconsumo: violato il GDPR nelle attività di telemarketing (che peraltro ha riguardato una sanzione di ben 100’000 €), l’intervento del Garante ha riaffermato che non è lecito utilizzare i contatti di liste acquisite da società terze, anche se a queste gli interessati hanno espresso il proprio “consenso per finalità di marketing e per la cessione dei dati a terzi”, se non si procede per proprio conto a consegnare una nuova propria informativa privacy ed a raccogliere preventivamente i nuovi consensi al trattamento, specifici ed informati per le finalità promozionali da svolgere.

Nell’invio di email massive non devono comparire tutti i destinatari

L’articolo Da evitare l’invio di email con tutti gli indirizzi dei destinatari in chiaro per conoscenza informa che il Garante della Privacy ha ribadito, con un provvedimento, che non devono essere inviate email massive con tutti gli indirizzi in chiaro anche se si tratta di semplici informazioni tecniche. Nello specifico si trattava delle informazioni circa un concorso pubblico inviate da un comune a tutti i partecipanti.

Per la verifica dell’età è opportuna una valutazione di impatto

Premesso che i sistemi più diffusi impiegati per il controllo dell’età consistono in 

  • convalida della carta di credito, 
  • analisi biometrica del viso, 
  • verifica offline, 
  • analisi dei documenti di identità, 
  • collegamento a ID provider pubblici, 
  • verifica inferenziale, 
  • segnalazione da parte degli altri utenti,

secondo l’articolo Il ruolo del Data Protection Officer nei sistemi di age verification, alcuni di questi, come l’analisi biometrica, impattano direttamente sui dati personali di categoria particolare; d’altra parte possono essere indispensabili proprio per la salvaguardia dei diritti dei minori. E’ necessario dunque che sia ben valutato il bilanciamento tra l’invasività del mezzo (che di per sé non sarebbe consentito senza preventivo consenso), anche se utilizzato solo in fase di accesso a una registrazione per un servizio e la stessa tutela dei soggetti vulnerabili (nonché la dimostrazione che il titolare ha assolto ai propri obblighi in merito). Le stesse autorità europee garanti della privacy, da un lato promuovono l’utilizzo dell’age verification, dall’altro invitano alla prudenza.

L’articolo conclude che, poiché ogni caso è a sé stante, è opportuno che il DPO rediga una specifica valutazione di impatto.

La catena dei responsabili, a vario titolo, del trattamento dei dati personali

La filiera di cui all’articolo Il governo della filiera dei responsabili del trattamento rientra nell’accountability del titolare è costituita dall’insieme di soggetti che si relazionano tra loro e che compiono varie attività nell’ambito di un trattamento di dati personali, soggetti che, in base al GDPR, sono il titolare del trattamento (articolo 4), i responsabili e sub-responsabili del trattamento (articolo 28), i contitolari del trattamento (articolo 26) e, infine, gli autorizzati al trattamento (articolo 4).

Per quanto riguarda il Responsabile del trattamento, esso deve presentare “garanzie sufficienti” in termini di conoscenza specialistica, affidabilità e risorse, per la messa in atto di misure tecniche e organizzative in grado di soddisfare il rispetto della normativa privacy, anche in relazione alla sicurezza del trattamento. Inoltre, il contratto deve vincolare il responsabile al titolare e specificare l’oggetto, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il Responsabile deve essere anche vincolato al rispetto dei requisiti di cui al comma 3, dell’Art. 28 del GDPR.

Il Titolare del trattamento è tenuto ad effettuare le verifiche ex-ante [preventive] dei fornitori, prima della loro nomina a Responsabili, e le verifiche ex-post [nel corso dell’esercizio della loro funzione] dei Responsabili stessi. Il Titolare dovrebbe dunque condurre un risk assessment del responsabile/fornitore fin dalla fase della selezione. Lo strumento può essere una check-list oppure un questionario da far compilare, in modo da verificare vari aspetti, quali:

  • un corretto “assetto privacy” (presenza di registro dei trattamenti di dati personali, informative privacy, accordi,
  • procedure per la gestione dei data breach e per la gestione dell’esercizio dei diritti degli interessati, policy di data retention [conservazione dei dati]),
  • l’eventuale nomina di un DPO,
  • misure tecniche ed organizzative e adeguate,
  • l’approccio privacy by design e by default,
  • la gestione di eventuali trasferimenti dati extra-Ue;

Dopo la nomina, dovrebbero seguire verifiche periodiche del Responsabile, attuate attraverso speciali audit.

L’articolo cita infine un provvedimento del Garante contro una società che ne aveva incaricata un’altra per attività di marketing, senza la nomina a Responsabile del trattamento e senza la verifica dell’adozione di adeguate misure tecniche e organizzative.

Organizzato un corso operativo sul MOP come misura di accountability

L’articolo Organizzato un corso operativo sul MOP come misura di accountability rammenta l’art. 24 del GDPR, il quale prescrive che “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento (UE 2016/679). Dette misure sono riesaminate e aggiornate qualora necessario”. Ne consegue la necessità di un apparato documentale notevole.

Secondo l’autore, la soluzione può essere rappresentata dal “MOP” (Modello Organizzativo Privacy) che prende spunto dal Modello Organizzativo derivante dal Dlgs 231/2001. Il MOP può, a sua volta, integrare anche riferimenti ad altre normative cogenti e che impattano sulla protezione dei dati personali.

Il corso in materia, organizzato d a Federprivacy, è a questo link.

Il DPO non deve incorrere nel conflitto di interesse

Da una disamina effettuata dall’autore dell’articolo Il trait d’union nel conflitto di interessi del DPO tra normativa, linee guida e princìpi giurisprudenziali sui punti e sui considerando del GDPR, deriva che il DPO deve avere caratteristiche di indipendenza, autonomia e assenza di conflitto di interessi.

Da linee guida del Gruppo di Lavoro art. 29 (WP243) approvate dal approvate dal Comitato Europeo per la protezione dei dati (EDPB), da risposte alle FAQ date dal Garante italiano della Privacy e da sentenza della Corte di Giustizia dell’Unione Europea (CGUE), si ha che il DPO deve astenersi dal ricoprire ruoli, incarichi o svolgere attività e mansioni che lo indurrebbero a determinare le finalità e i mezzi del trattamento di dati personali presso il titolare del trattamento o il responsabile del trattamento. A titolo di esempio, in un’azienda il DPO può essere un dipendente con ruolo di legale aziendale (ruolo di staff) o un soggetto esterno, purché non fornisca all’azienda altri servizi in conflitto, quali quelli di carattere IT.

Il Modello Organizzativo Privacy può essere utile, se non anche necessario

L’articolo Il Modello Organizzativo Privacy e l’integrazione tra normative cogenti e sistemi di gestione prende in esame con maggior dettaglio il MOP (Modello Organizzativo Privacy quale parte integrante del Modello Organizzativo sia di un’azienda privata che di una Pubblica Amministrazione. Il MOP non è un documento espressamente richiesto dal Regolamento UE 679/2016 (GDPR), ma può essere considerato un’importante misura di accountability.

L’autore dell’articolo prende in considerazione i tre seguenti casi.

  1. L’organizzazione non possiede un sistema di procedure afferenti a normative cogenti e/o a uno o più sistemi di gestione, ma reputa comunque utile predisporre il MOP. In questo caso il MOP conterrà al suo interno tutte le procedure che descrivono i processi che impattano sulla gestione dei dati personali.
  2. L’organizzazione possiede un sistema di procedure ma non desidera integrarle nel MOP. Anche in questo caso si concepisce il MOP come un sistema a sé stante, completo di tutte le procedure necessarie; tuttavia, in questo modo, si perdono tutti i vantaggi ottenibili dall’integrazione tra sistemi e normative cogenti.
  3. L’organizzazione possiede un sistema di gestione e considera una valida misura integrarle nel MOP. In questo caso, l’azienda che dispone di altri sistemi di gestione, li estende agli aspetti relativi alla protezione dei dati personali, predisponendo un MOP contenente i documenti previsti specificamente dalla normativa (ad es.: registro dei trattamenti, analisi dei rischi, eventuale PIA) e limitandosi solo a semplici riferimenti alle procedure derivanti dalla applicazione delle normative e/o sistemi di gestione stessi.

La frequenza di aggiornamento del MOP dipende da caso specifico e da variazioni interne (nuovi trattamenti o modifiche a quelli esistenti) ed esterne (normative, provvedimenti, tecnologie, ecc.).

Il MOP può costituire un criterio di audit e l’eventuale DPO dovrebbe pretenderlo.

Dopo 5 anni dall’entrata in vigore del GDPR siamo a regime con una sua applicazione chiara ed oggettiva? Sembrerebbe di no.

[Riporto integralmente la premessa dell’articolo Dopo 5 anni di GDPR la compliance sulla privacy è ancora considerata una burocrazia, poiché è sintomatica di una situazione purtroppo ancora confusa e complicata. Ndr]

<< Il 78% delle imprese considera ancora la privacy come un mero adempimento burocratico. Il caso della multa da mezzo milione di euro alla società di e-commerce che aveva nominato un DPO in conflitto d’interessi. Bernardi: “Con applicazioni fuorvianti del GDPR ci sono imprese di pulizia che sono state nominate responsabili del trattamento solo perché i loro addetti vedono informazioni aziendali quando svuotano i cestini dei rifiuti”. Paola Casaccino: “Spesso le società sanzionate si erano affidate a consulenti che avevano prodotto solo documentazione burocratica senza badare alla sostanza. Necessario passare dalla teoria alla pratica”. >>

Secondo l’autore dell’articolo GDPR, a 5 anni di distanza mancano ancora codici di condotta, decreti, regole deontologiche, e linee guida, in almeno almeno 16 aree di intervento mancano discipline di dettaglio, richieste dal GDPR, quali codici di condotta, un paio di regolamenti e altrettanti decreti, regole deontologiche, linee guida e misure di garanzia. Tra queste aree compaiono sanità, enti pubblici, piccole e medie imprese, datori di lavoro, giudiziari, biometria.

[Volendo aggiungere qualche “desiderata”, si potrebbe sostenere che a chi deve mettere in pratica il GDPR non servono affatto regolamenti che affianchino quanto già esistente, perché ce ne è sin troppo, ma qualcosa di pratico, per settore, con l’esplicita dichiarazione che ottemperando a quanto ivi previsto si rispetta il GDPR, senza necessità di esaminare altro; e, ancora, senza che che ci si inventi neanche una sola virgola in più rispetto a quanto mandatario per il GDPR. Ndr]

Dall’EU-US Privacy-Shield ad un nuovo provvedimento che consenta di trasferire serenamente i dati personali in USA il percorso è ancora lungo

L’articolo L’European Data Protection Board sulla nuova cornice giuridica per il trasferimento dei dati in Usa: una ‘incoraggiante’ bocciatura ripercorre le vicende del trasferimento dei dati da UE ad USA, a partire dall’invalidazione dell’EU-US Privacy-Shield, sino alla situazione attuale, ancora in fase di avanzamento lavori, per non dire quasi di stallo. L’autore conclude domandandosi se la Comunità Europea, a fronte, di ulteriori agognati interventi USA per soddisfare i requisiti europei in termini di privacy, riuscirà ad emettere una “decisione di adeguatezza” che consenta il trasferimento dei dati personali [senza clausole aggiuntive difficilmente soddisfacibili; ndr].

L’esame della presenza di utilizzo dei cookie in un sito web non garantisce che non ci siano altri mezzi che rilevano l’identità dei navigatori del sito.

L’articolo Attenti ad incorporare sul proprio sito web video e contenuti che sembrano rispettare la privacy degli utenti ma hanno il cookie nascosto è rivolto ai proprietari di siti web, i quali vengono messi in guardia dall’utilizzo di elementi terzi, fuori dal proprio controllo, se vogliono evitare il rischio di non essere conformi al GDPR.

Infatti, affidando la scrittura dell’informativa relativa ai cookie ai sistemi che sono in grado di rilevarli in base a come è stato costruito e configurato il sito, non sarebbero individuati ulteriori metodi di identificazione degli utenti del sito stesso che agiscono in modo diverso dai cookie. Questi metodi sfruttano il “Local Storage” che inserisce nel dispositivo utente, ma può anche trasferire al server, file ad hoc per tracciare l’identità digitale dell’utente al fine di profilarlo. Questo è quello che avviene, per esempio, in un dominio fornito da YouTube per incorporare un video nel proprio sito.

Difficilmente si riesce a capire, quando sono presenti nel sito elementi esterni, fuori dal controllo del proprietario, se oltre ai cookie vi siano altri elementi di cui informare i navigatori e per i quali richiedere il consenso. In ogni caso è meglio affidarsi a soluzioni che non provengano da paesi/aziende non GDPR-compliant.

[Per i dettagli si veda l’articolo in originale.]

Ancora un articolo sul whistleblowing

L’articolo Rafforzati divieto di ritorsione e tutela dell’identità dei whistleblower riferisce che la direttiva europea sul whistleblasting è stata approvata in Italia con il D.Lgs. 24/2023. L’autore evidenzia tre aspetti principali.

Rispetto a quanto presupposto nel D.Lgs. 231/2001, è stato esteso l’ambito delle violazioni che possono essere segnalate a quelle che, in base alle normative nazionali o europee, possono pregiudicare l’interesse pubblico o l’integrità dell’azienda privata.

La disciplina del whistleblowing è obbligatoria anche nel settore privato, se su larga scala, e i soggetti oggetto della protezione sono ora, oltre ai segnalanti, anche quelli che hanno facilitato la segnalazione o effettuo una divulgazione pubblica.

Sono stati definiti requisiti e canali per le segnalazioni, aggiungendo ai canali interni aziendali anche un canale esterno con l’ANAC [agenzia nazionale anticorruzione] e prevedendo il coinvolgimento dei sindacati. A sostegno dell’applicazione del D.Lgs., è stato previsto un sistema sanzionatorio nei confronti degli inadempienti.

Quanto valgono i servizi resi da un DPO?

L’articolo Data Protection Officer da 42 euro al mese tutto compreso  si riferisce ad un bando di una scuola media per la selezione del DPO, rilevando con sconcerto l’assoluta incongruità del compenso offerto rispetto agli incarichi e responsabilità dell’incarico.

[Si riescono ad ipotizzare solo due possibilità: o il bando andrà deserto, oppure l’eventuale assegnatario non svolgerà i compiti previsti dal GDPR. Si può immaginare la mancata disponibilità di fondi della scuola, ma i finanziamenti dovrebbero essere proporzionati agli impegni che l’ente pubblico deve obbligatoriamente soddisfare. Ndr]

Maggiori tutele per i consumatori di contenuti e servizi sul web

Dall’articolo Recepimento della Direttiva UE 2019/2161: un freno alle recensioni online fasulle o pilotate si apprende che il consiglio dei ministri, il 23 febbraio scorso, ha emanato il decreto legislativo di recepimento della direttiva Ue 2019/2161, relativa al consumo digitale.

Viene richiesta trasparenza sui criteri utilizzati dalle piattaforme internet per rispondere alle ricerche di prodotti: l’utente deve essere informato sui criteri che determinano l’ordine di apparizione dei risultati delle ricerche ed deve essere chiaro quali sono a fronte di inserzioni a pagamento.

Gli operatori economici devono garantire che le recensioni siano state scritte da chi ha veramente acquistato o utilizzato i prodotti; pertanto devono adottare misure ragionevoli e proporzionate per verificare che le recensioni non siano fasulle. Ovviamente, è vietato che l’operatore o soggetti da esso incaricati postino recensioni ad hoc.

E’ confermato che consumatore può barattare i propri dati personali con contenuti digitali o servizi digitali [In altri ambito era stato affermato che un sito non poteva opporsi alla consultazione, se non fornendo una qualche alternativa, da parte di chi rifiutasse di cedere i propri dati personali. Ndr]

Per i contratti relativi all’acquisto di contenuti o servizi digitali, devono essere date informazioni su condizioni di assistenza e di garanzia, condizioni di funzionalità, compatibilità e interoperabilità.

Il pricing dinamico (che consiste nella variabilità del prezzo in base al luogo e al tempo, se non anche per altre personalizzazioni), deve essere accompagnato dall’informazione se sia stato calcolato in modo automatico tramite un algoritmo. Il GDPR infatti riserva agli interessati il diritto di richiedere l’intervento umano.

In caso di recesso dall’acquisto di contenuti e servizi digitali (diritto di ripensamento), l’operatore economico deve restituire i contenuti forniti o creati dal consumatore durante l’utilizzo. Nello stesso tempo ha il diritto di disattivare l’account dell’utente; e questo ha l’obbligo di cessare l’utilizzo.

Il consumatore potrà chiedere il risarcimento dei danni provocati da pratiche commerciali sleali, rivolgendosi al giudice ordinario.

Verifiche da fare riguardo al DPO

L’autore dell’articolo Tutto a posto con il DPO? ecco come controllare suggerisce al Titolare del trattamento dei dati personali come affrontare alcuni obblighi nei confronti del DPO (in relazione agli articoli 37, 38 e 39 del GDPR).

La verifica dell’adeguatezza del soggetto da incaricare come DPO, per accertarne le qualità professionali, in particolare la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e la capacità di assolvere i compiti di cui all’articolo 39, può essere eseguita esaminando il c.v. e con un audit di prima parte (svolto direttamente dall’azienda, ma non dallo stesso ufficio del DPO se questo dovesse essere un dipendente). Si deve inoltre verificare che non sussistano conflitti di interesse; verifica che dovrà poi essere continuativa, onde porre eventuali rimedi (per esempio, cambio di mansioni). Seguiranno il contratto di servizi (nel caso di DPO esterno) o il mansionario (nel caso di DPO interno).

In merito al divieto di rimozione o penalizzazione, diretta o indiretta, del DPO circa i compiti affidatigli, ne sussiste comunque la possibilità nel caso in cui sia inadempiente rispetto agli obblighi contrattualmente definiti.

Requisiti per e le scuole (e non solo) circa il trasferimento dei dati, ma senza la concreta possibilità di soddisfarli

Dalla Circolare MIM 706 del 20 marzo 2023, l’autore dell’articolo Nelle scuole è allerta per i dati fuori dalla UE: la circolare del Ministero dell’Istruzione rileva che le scuole devono verificare se le applicazioni informatiche utilizzate esportano dati al di fuori dell’Unione Europea nel rispetto del GDPR, in particolare se i sistemi sono configurati in maniera da evitare l’indebito invio di informazioni personali verso Stati che non garantiscono una tutela adeguata. Si apre una questione non solo tecnica, ma anche giuridica e amministrativa.

Per prima cosa il titolare del trattamento dei dati personali deve domandarsi se il trasferimento dei dati all’estero sia pertinente e necessario, in relazione alle finalità istituzionali e didattiche del trattamento stesso. Se la risposta è negativa, deve essere scelto un fornitore che lasci i dati entro il confine europeo. In caso contrario devono essere verificate le condizioni di liceità del trasferimento: se per il paese terzo ricevente i dati c’è una “decisione di adeguatezza” della Commissione UE, oppure sono disponibili garanzie adeguate secondo l’Art. 46 del GDPR (che comprendono le clausole contrattuali tipo o standard approvate dalla Commissione UE), oppure particolari deroghe secondo l’Art. 49.

In un allegato della circolare del Ministero dell’Istruzione sono riportati stralci delle clausole contrattuali di utilizzi dei servizi forniti da Microsoft e da Google, tuttavia resta sempre a carico delle scuole esaminare i contratti (con Google, Microsoft e tutti gli altri fornitori simili) per controllare se tutto è a posto. Di fatto non tutte le criticità sono risolte, poiché le dichiarazioni di Google e Microsoft non sono del tutto esaustive. Inoltre, le clausole contrattuali standard dovrebbero essere esplicitamente sottoscritte e dovrebbe anche essere redatta una TIA (Transfer Impact Assessment). Per mitigare i rischi, se le applicazioni lo consentono, si dovrebbero pseudonimizzare, o anonimizzare, o crittografare i dati. Dovrebbero essere tenute aggiornate analisi dei rischi e valutazione di impatto (DPIA).

Il vero nodo del problema è che dovrebbe essere risolto dalle Autorità centrali, nell’ambito dei rapporti tra UE e USA, visto che si sta parlando di applicazioni utilizzate universalmente. Nelle more di tale risoluzione, si resta esposti ai rischi di contestazioni circa il mancato rispetto del GDPR.

Organigramma esteso con il Modello Organizzativo Privacy

Il GDPR prevede il titolare del trattamento dati personali come centro decisionale e gli autorizzati, i responsabili del trattamento e sub-responsabili del trattamento come “organi di line”, nonché il DPO come “organo di staff”. In questo modo il titolare ha sempre il pieno controllo di tutti i trattamenti, anche se effettuati per proprio conto.

Tale tipo di struttura, secondo l’articolo L’organigramma e il funzionigramma nel Modello Organizzativo Privacy, può non essere adeguata per le P.A. o le aziende medio-grandi. Per questo motivo, il D.Lgs. 101/2018 prevede che il titolare, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, può attribuire specifici compiti e funzioni, connessi al trattamento di dati personali, a persone fisiche, espressamente designate, che operano sotto la sua autorità. Così, ad esempio, i soggetti ai quali è attribuito il potere decisionale circa finalità e mezzi dei trattamenti potranno assumere il ruolo privacy di “Esercente la funzione di titolare” mentre a livelli inferiori potrà essere attribuito il ruolo di “designato/delegato”.

Data Protection Officer, reputazione e credibilità anche grazie al ‘personal branding’

In questo relativamente lungo articolo vengono esortati i DPO ad effettuare il branding, cioè la promozione, di se stessi, attraverso una serie di iniziative, allo scopo che il loro ruolo, all’interno delle aziende, sia finalmente percepito come quello di “garante” interno che, operando in piena indipendenza e autonomia, supporta il business affinché le aziende sviluppino i propri piani e progetti in conformità alle normative vigenti e nel rispetto dei diritti inviolabili degli interessati.

 

IN BREVE, DALL’ITALIA E DAL MONDO

Decreto Trasparenza: restano le incertezze circa l’informativa sull’uso di mezzi decisionali automatizzati

L’articolo Decreto Trasparenza, da definire il perimetro degli obblighi di informazione ripercorre la “storia” del Decreto Trasparenza ed i successivi tentativi di chiarimento in merito agli obblighi informativi in presenza di «sistemi decisionali e di monitoraggio automatizzati», giungendo alla stessa ammissione del Garante Garante, circa «l’indeterminatezza e genericità della locuzione contenuta nel decreto».

TikTok al bando dalla Commissione europea

L’articolo La Commissione europea ha chiesto ai dipendenti di disinstallare l’applicazione del social network cinese TikTok dai loro smartphone ed altri dispositivi di lavoro ricorda che chi nomina un DPO deve pubblicarne i dati di contatto e darne comunicazione al Garante della Privacy. Ciò serve, rispettivamente a garantire agli interessati la possibilità di porsi in contatto diretto con il DPO “per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti” (Art. 38 del GDPR) e allo svolgimento dei compiti di cooperazione (Art. 39.1).

Secondo le linee guida WP243 sui Responsabili della Protezione dei Dati, sono plausibili le seguenti modalità di contatto: recapito postale, numero telefonico dedicato e/o indirizzo dedicato di posta elettronica. Viceversa, avverte l’autore dell’articolo, non è opportuno fornire il numero di telefono personale, né indicare, come unica modalità di contatto, la compilazione di una serie di moduli.

I dati personali sintetici vanno oltre i semplici dati anonimizzati

L’articolo Oltre il reale, oltre il GDPR: i dati ‘personali’ sintetici tratta dei cosiddetti “dati sintetici”, cioè dei dati che, tramite processi di AI, sono originati con algoritmi in modo tale da rispecchiare le caratteristiche della base dati di riferimento, dissociandoli però dai dati personali nel rispetto del’anomizzazione e rendendoli fruibili, in modo più ordinato e logico rispetto ai “dati reali”, per successive elaborazioni statistiche.

Se da un lato i dati sintetici non sono soggetti al GDPR, avendo perso le caratteristiche di “dati personali”, la loro produzione richiede una serie di precauzioni (di cui all’articolo integrale), fra cui quelle relative alla stessa privacy per quel che riguarda il meccanismo di generazione, nonché relativamente ai rischi per possibili decisioni (di business, politiche, educative sanitarie etc) derivanti da dati sintetici non congrui.

Aree oggetto di specifiche ispezioni del Garante della Privacy per il corrente semestre

L’articolo Piano delle attività ispettive del Garante Privacy: sotto la lente marketing, identità digitale, cookie e altri strumenti di tracciamento afferma che il Garante ha esteso al primo semestre 2023 le aree di controllo (da effettuarsi anche a mezzo della Guardia di Finanza) già previste per il secondo semestre 2022:

  1. verifiche sui gestori dell’identità digitale e sui fornitori di servizi che utilizzano SPID e CIE (anche ad uso professionale o per minori) nell’ambito di servizi online offerti dalle pubbliche amministrazioni;
  2. verifiche circa la corretta implementazione delle Linee guida sui cookie e gli altri strumenti di tracciamento anche attraverso lo strumento degli accertamenti online e tenendo presente il “Report of the work undertaken by the Cookie Banner Taskforce” adottato il 17 gennaio 2023;
  3. verifiche in materia di trattamento di dati personali attraverso attività di telemarketing e tessere di fidelizzazione.

Quanto sopra non esclude verifiche sull’osservanza delle disposizioni di legge, in generale.

Minori disturbi pubblicitari, dalle compagnie telefoniche che aderiranno al relativo codice di condotta

Quanto illustrato dall’articolo Niente telefonate dopo cena e nei festivi tra le novità del nuovo codice di condotta sul telemarketing ci può interessare anche in ambito personale privato. Il provvedimento n. 70 del 9 marzo 2023 del Garante della Privacy ha inserito quanto segue nel nel codice di condotta per le attività di telemarketing e teleselling:

  • niente telemarketing dopo cena o di domenica e fasce orarie per le limitazioni negli altri giorni;
  • comunicare chi è l’operatore che sta conducendo la campagna promozionale (così da potersi annotare il nome del soggetto contro cui eventualmente presentare un reclamo);
  • obbligo del call center di dire dove è stato preso il numero di telefono e di informare circa il presupposto in base a quale si fa la telefonata (ad esempio se c’è un consenso a monte);
  • inserimento veloce nelle liste nere di chi non è interessato o revoca il consenso alle chiamate.

 

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Per proteggere i dati dell’Istituzione, la Commissione europea ha chiesto ai dipendenti di disinstallare l’applicazione del social network cinese TikTok dai loro smartphone ed altri dispositivi di lavoro.
  • La Federal Trade Commission (FTC) americana ha sanzionato per ben 7,8 milioni di dollari la società di consulenza online BetterHelp (che offre supporto psicologico) per aver condiviso i dati sensibili degli utenti – comprese le informazioni sulla salute mentale – con le piattaforme social. [La notizia di rilievo è che non si tratta di una multa a beneficio delle casse dello stato, ma di un risarcimento agli interessati che sono stati danneggiati. Quando vedremo questo approccio anche in Italia? Ndr]
  • Facebook è stata condannata, dal tribunale di Milano, al risarcimento danni nei confronti di Snaitech per non avere tempestivamente cancellato una serie di contenuti diffamatori pubblicati.
  • Il Garante privacy ha sanzionato una società di servizi di messaggistica per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti.
  • La Ferrari ha reso noto, il 20 marzo scorso, di aver ricevuto nei giorni scorsi una richiesta di riscatto relativa ad alcuni dati di contatto dei propri clienti.
  • Regno Unito: gli hacker hanno violato il fondo di protezione pensionistico e rubato i dati personali dei dipendenti, sfruttando il servizio di trasferimento Go Anywhere.

    ing. Michele Lopardo

    Responsabile Qualità @ Wondersys