PUBBLICITA’ E PRIVACY

Pubblicità più efficiente, purché rispetti le norme sulla protezione dei dati personali

L’articolo Pubblicità digitale ‘Out Of Home’: strumento di marketing ‘privacy-friendly’ prende in considerazione la pubblicità effettuata attraverso schermi digitali.

Prima dell’avvento di internet, le campagne di marketing si sviluppavano prevalentemente attraverso la televisione e la radio, all’interno delle abitazioni degli utenti, mentre all’esterno la promozione di prodotti e servizi veniva realizzata esclusivamente mediante cartelloni pubblicitari stampati, anche di grandi dimensioni.

Oggi ha preso piede anche la pubblicità digitale fuori casa (Digital Out Of Home – DOOH), tramite schermi digitali posizionati in luoghi maggiormente frequentati dal pubblico [anche grazie alla progressiva diminuzione del prezzo dei monitor e alla riduzione della loro profondità; ndr]. La segnaletica digitale (Digital Signage) è piuttosto efficace e, se correttamente eseguita, risulta di minimo impatto sui diritti e le libertà degli interessati.

Un provvedimento del Garante della Privacy ha, per esempio, esaminato alcune segnaletiche digitali presso la stazione ferroviaria di Milano-Centrale, accertando quanto segue.

  • Dispositivi: una serie di schermi, apparati come pc o media player per l’invio dei contenuti digitali agli schermi, sensori (quali webcam) in grado di effettuare raccolta dati di audience. 
  • Processo di gestione per la valutazione dell’efficacia della comunicazione pubblicitaria: raccolta anonimizzata dei dati di audience, determinazione della presenza di volti umani con rilevamento del tempo di permanenza, rilevamento, per quanto approssimato, del sesso, età e distanza dallo schermo, analisi statistiche finalizzate a valutare il livello di gradimento dei diversi messaggi pubblicitari.
  • La rilevazione del volto è effettuata per “face detection” e non per “face recognition” in modo da non identificare il singolo individuo in base alle caratteristiche biometriche del volto. Le immagini sono memorizzate in RAM per il solo tempo necessario ad effettuare l’analisi.

Le precisazioni del Garante hanno riguardato l’opportunità che il titolare del trattamento fornisca un’informativa semplificata a mezzo di appositi cartelli e una completa anche mediante codice QR, definisca la base giuridica, in ovvia assenza del consenso degli interessati, attraverso una L.I.A. [legitimate interests assessment; ndr], effettui un monitoraggio almeno semestrale degli apparati per evidenziare eventuali malfunzionamenti o tentativi di accesso fraudolento.

Il mercato DOOH sembra avere ottime prospettive di crescita.

[Tutto questo con la speranza che il Digital Signage non diventi ancora più invasivo, ad esempio per la dimensione degli schermi e per il possibile abbagliamento dovuto a repentine variazioni della luminosità o, ancora (cosa personalmente verificata in Cina già diversi anni fa) per l’associazione di audio, magari ad alto volume, alle immagini. Ed ancora auspicando che operatori poco responsabili non utilizzino il “face recognition” per profilazione e tracciamento. Ndr]

Il Registro Pubblico delle Opposizioni non è del tutto efficace

L’autore dell’articolo Il nuovo Registro delle opposizioni non basta a fermare il telemarketing selvaggio denuncia il fatto che, nonostante la legge sul Registro Pubblico delle Opposizioni sia divenuta operativa da fine luglio 2022, il telemarketing selvaggio non si è fermato., sia per l’ambiguità di alcune prescrizioni della legge stessa, sia perché operatori con pochi scrupoli continuano ad eluderla.

In certi casi gli operatori utilizzano il “call me back” (distinto in sofisticate articolazioni “call me now”, “call me later”), magari integrato con sistemi di messaggistica e chat, per richiamare indefinitamente l’utente che ha visitato il sito internet lasciando i suoi recapiti per essere invece contattato una sola volta al fine di avere informazioni su un prodotto. Viene fatto uso anche del “phone number spoofing” (o “caller ID spoofing”) con tecnologie che fanno apparire sul display dell’apparecchio ricevente un numero inesistente, che quindi non può essere richiamato per far valere il proprio diritto alla cancellazione.

L’Unione Consumatori ha presentato denuncia alle autorità, ma mancano ancora idonei strumenti normativi per migliorare il contrasto alle pubblicità non richieste.

Altro caso non chiaro nella legge dell Registro delle opposizioni

L’articolo Telefonia & marketing: in dieci anni sono cresciuti del 250% i reclami al Garante della Privacy, rispetto al precedente “Il nuovo Registro delle opposizioni non basta a fermare il telemarketing selvaggio“, individua ulteriori lacune o quantomeno incertezze nella legge relativa al Registro Pubblico delle Opposizioni (Legge 5/2018) per la difesa dal telemarketing. In particolare, non sono chiari i casi di esonero dall’obbligo di consultazione del Rpo quando l’operatore economico ha ottenuto il consenso dell’interessato nell’ambito dei rapporti contrattuali.

Chi si iscrive al Registro revoca, con l’iscrizione, tutti i consensi precedentemente espressi, con qualsiasi forma o mezzo, che autorizzano telefonate per fini di pubblicità o di vendita o per il compimento di ricerche di mercato o di comunicazione commerciale. La legge 5/2018, però, salva i consensi al trattamento per i fini di marketing se prestati “nell’ambito” di specifici rapporti contrattuali in essere, o cessati da non più di 30 giorni, dei quali è parte il contraente e aventi ad oggetto la fornitura di beni o servizi, per i quali è comunque assicurata, con procedure semplificate, la facoltà di revoca.

Le Faq pubblicate sul sito del Registro delle opposizioni fornirebbero due indicazioni più chiare:

1) l’operatore è obbligato a consultare il Rpo se intende chiamare con o senza l’intervento di un operatore umano numeri di persone che non sono suoi clienti; 

2) se è stato raccolto il consenso “marketing” in un contratto, l’operatore è esonerato dall’obbligo di consultare il Rpo, ma solo se il contratto con il contraente ha carattere di continuità; in ogni caso, la deroga si applica solo all’operatore a cui si riferisce il contratto e non anche ai soggetti terzi a cui i dati sono stati ceduti.

Tuttavia le Faq non sono obblighi giuridici.

Valorizzazione dei dati personali, vantaggi e rischi per gli interessati

L’articolo Proteggere e valorizzare i dati personali con un ‘privacy new deal’ spiega che il “new deal” [“nuovo corso”, o “nuovo patto”] in materia di dati personali è rivolto a concepire una valorizzazione economica dei dati personali – per esempio tramite profilazione comportamentale o marketing personalizzato.

L’autore dell’articolo, dopo un’attenta disamina di 6 punti afferenti il diritto in materia [vedasi articolo originale], si chiede se sia ipotizzabile tale valorizzazione senza il consenso dell’interessato, o perfino senza fondare il trattamento su nessuna delle basi giuridiche indicate nell’Art. 6 del GDPR, ed espone alcune considerazioni.

I diritti privacy sono fondamentali, inviolabili, indisponibili: non è possibile rinunciare ai diritti sulla propria privacy in cambio di denaro, mentre si può concepire una forma contrattuale per cui si permette (come una licenza) di utilizzare temporaneamente propri dati personali per finalità di profilazione e/o marketing da parte di terzi titolari del trattamento, in cambio di una controprestazione in termini di beni o servizi, da parte dei titolari del trattamento. L’interessato dovrebbe in ogni caso poter esercitare i propri diritti. In questo “exchange commerce” non si attuerebbe alcuna “cessione” dei dati personali, né dei diritti dell’interessato. Dunque all’interessato potrebbe, ad esempio, essere riconosciuto una sorta di diritto di utilizzazione economica dei dati personali, in percentuale, come accade in casi di copyright con gli artisti.

Utilizzare il legittimo interesse come base per la valorizzazione economica dei dati personali non appare un’ipotesi accettabile, in quanto non congruo rispetto al peso di diritti e libertà fondamentali di un interessato, i cui dati siano in gioco, se non nel bilanciamento tra differenti diritti e libertà fondamentali.

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Linee guida per la sicurezza e la protezione dei dati dei dispositivi IoT

L’articolo Le nuove linee guida per la sicurezza e la protezione dei dati dei dispositivi IoT informa che è uscita lo scorso giugno la prima versione della linea guida ISO/IEC 27400:2022 “Linee Guida per la sicurezza e privacy dei dispositivi IoT” [Cybersecurity — IoT security and privacy — Guidelines], che integra gli standard della famiglia ISO/IEC 27000 sulla sicurezza delle informazioni.Questa linea guida si riferisce specificatamente alla ISO/IEC 30141:2018 [Internet of Things (IoT) — Reference Architecture] e fornisce principi e controlli per mitigare i rischi sulla sicurezza delle informazioni e sulla protezione dei dati personali nelle applicazioni “Internet of Things” (IoT), sia singole che basate su una rete di infrastrutture e servizi. Altri standard relativi all’IoT dovrebbero essere pubblicati entro il 2023.

La ISO/IEC 27400 definisce un dispositivo IoT come una “Entità di un sistema IoT che interagisce e comunica con il mondo fisico attraverso il rilevamento o l’attivazione”. I sistemi IoT condividono, almeno in parte. le seguenti caratteristiche:

– includere dispositivi IoT, riconducibili ad apparecchiature hardware e componenti software, sia singoli che utilizzati insieme o collegati a supporti fisici;

– essere connessi alle reti, cablate o wireless, ed avere la capacità di trasmettere e ricevere dati;

– avere capacità di rilevamento (es. stati o movimenti ambientali);

– avere capacità di attuazione (es. ricevere dati di controllo, di movimento, ecc. per avviare azioni fisiche);

– includere applicazioni IoT per elaborare i dati dai dispositivi stessi, per generare e inviare dati di controllo e per consentire l’integrazione con altri sistemi;

– includere componenti operativi che consentono la configurazione e il funzionamento di dispositivi e applicazioni IoT;

– supportare utenti umani o digitali (approfondimenti nella ISO/IEC 30141:2018).

Le principali parti interessate che devono mettere in atto specifici controlli [provvedimenti; ndr] sono:

– “IoT service provider” (ISP) – responsabile della fornitura di servizi che permettono al sistema IoT di funzionare;

– “IoT service developer” (ISD) – responsabile di: sviluppo, progettazione, implementazione, produzione, configurazione, assistenza ed integrazione dei servizi IoT.

– “IoT user” (IU) – l’utilizzatore (inclusi utenti umani e digitali) di un sistema o di un servizio IoT.

– “IoT Device Developer” (IDD) che può essere considerato come un sub-ruolo rispetto a quello del Service Developer.

Sono quindi identificati (sulla base della ISO/IEC 30141) i domini su cui operano o interagiscono i sistemi IoT (per l’elenco vedasi l’articolo originale o lo standard stesso).

I rischi indotti dai sistemi IoT sono diversi da quelli dei dispositivi più tradizionali ed analogamente lo sono i controlli che ne coprono l’intero ciclo di vita. Lo standard individua 45 controlli [provvedimenti] di sicurezza dati e privacy, identificandoli in base alle parti interessate, definendone scopo e dominio e fornendo una guida di implementazione. L’articolo riporta quindi l’elenco di questi controlli con le relative parti interessate. A titolo di es. si citano qua i primi quattro:

– Politica per la sicurezza IoT – ISD/ISP

– Responsabilità per la sicurezza IoT in un’organizzazione – ISD/ISP

– Gestione delle risorse – ISP

– Attrezzature e beni siti al di fuori di aree fisicamente protette – ISP

L’autore dell’articolo infine riferisce che alcuni autorevoli commentatori hanno posto delle riserve su questo standard, ma che almeno sono state date indicazioni per mitigare i rischi dell’IoT, date le loro varietà, complessità, vulnerabilità e pervasività nella vita degli interessati.

La cyber sicurezza diventerà certificabile

L’articolo Certificazione cybersicurezza: definito il quadro normativo nazionale, ma non basta riferisce che il D.Lgs 123/2022 adegua la normativa nazionale alle disposizioni del titolo III “Quadro di certificazione della cybersicurezza” del regolamento (UE) 2019/881 relativo all’ENISA, l’Agenzia dell’Unione europea per la cybersicurezza, e alla certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione.

Per chiarire l’oggetto ed il campo di applicazione del citato regolamento UE se ne riporta il comma 1. dell’Art. 1:

<< 1. Allo scopo di garantire il buon funzionamento del mercato interno perseguendo nel contempo un elevato livello di cybersicurezza, cyber resilienza e fiducia all’interno dell’Unione, il presente regolamento stabilisce:

  1. a) gli obiettivi, i compiti e gli aspetti organizzativi relativi all’ENISA, («Agenzia dell’Unione europea per la cybersicurezza»); e
  2. b) un quadro per l’introduzione di sistemi europei di certificazione della cybersicurezza al fine di garantire un livello adeguato di cyber sicurezza dei prodotti TIC (Tecnologie dell’Informazione e della Comunicazione), servizi TIC e processi TIC nell’Unione, oltre che al fine di evitare la frammentazione del mercato interno per quanto riguarda i sistemi di certificazione della cybersicurezza nell’Unione.

Il quadro di cui al primo comma, lettera b), si applica fatte salve disposizioni specifiche di altri atti giuridici dell’Unione in materia di certificazione volontaria o obbligatoria. >>

Il provvedimento, quindi, dà attuazione alle disposizioni europee sulla certificazione di sicurezza dei prodotti, servizi e dei processi relativi alle tecnologie dell’informazione e della comunicazione (ICT), al fine di proteggere, per tutto il loro ciclo di vita, la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati. Questa certificazione, come recita l’Art. 1, è volontaria, salvo quanto diversamente specificato dalla UE o degli Stati membri e potrà essere concessa, ai produttori o fornitori ICT a seguito di precise procedure, da autorità nazionali appositamente designate, che dovranno essere accreditate.

Il D.Lgs, inoltre, tratta le attività di vigilanza svolte in ambito nazionale dall’ENSA, che deve vigilare sul mercato nazionale per garantire la corretta applicazione delle regole certificazione della cybersicurezza, con riferimento ai certificati di cybersicurezza ed alle dichiarazioni UE di conformità emessi nel territorio dello Stato.

Si prevede l’adozione di sistemi di certificazione specifici nei diversi ambiti (conformità di prodotti e servizi -tramite lo standard “Common Criteria”-, servizi cloud, reti 5G, dispositivi IoT, ecc), con atti di esecuzione della Commissione Europea.

Termini da usare nell’analisi dei rischi

L’articolo Scenario, minaccia, agente di minaccia, vulnerabilità e rischio: l’importanza del corretto uso dei termini nella protezione dei dati aziendali intende fare chiarezza sulla terminologia afferente la gestione dei rischi:

  • Scenario – (Scenario) condizione che può manifestarsi, non necessariamente negativa. Uno scenario non porta necessariamente ad una minaccia, ma potrebbe anche costituire un’opportunità. Ad esempio, nel caso di una situazione pandemica, permettendo ai dipendenti di operare in smart working con i propri dispositivi personali, si configura uno scenario nel quale sono presenti delle minacce sui dati aziendali, ma anche delle opportunità dovute al risparmio sull’acquisto dei dispositivi.
  • Minaccia – (Threat) scenario negativo che deve essere evitato. Una minaccia (talvolta è usato il termine “pericolo”), comporta uno scenario negativo; si verifica una situazione che incide sulla riservatezza, e/o integrità, e/o disponibilità dei dati. Le minacce prendono origine da vulnerabilità che sono sfruttate, anche in modo inconsapevole, dagli agenti di minaccia. Ad esempio, il furto di dati riservati è una minaccia [che può, molto probabilmente, produrre un “danno”. Ndr]
  • Agente di minaccia – (Threat actor) è l’ “entità” responsabile della minaccia. Ad esempio: cybercriminali, persone non preparate (agenti inconsapevoli), infrastrutture tecnologiche, natura. Gli agenti di minaccia generano le minacce per una o più cause. Ad esempio, lo scopo dei malintenzionati è ottenere un guadagno illecito; la causa di un allagamento può essere un guasto all’impianto idrico.
  • Vulnerabilità – (Vulnerability) debolezza che può essere sfruttata dall’agente di minaccia per concretizzare o rendere più impattante la minaccia. Ad esempio la causa costituita dal guasto dell’impianto idrico può essere la vetustà dell’impianto stesso.
  • Rischio – (Risk) [possibilità che succeda qualcosa di negativo, come un danno o un evento indesiderabile, a fronte di una minaccia innescata da una vulnerabilità; ndr]. Il rischio, a differenza della minaccia, considera il contesto; quindi, in rapporto allo scenario, il rischio è pesato in relazione alla possibilità che la minaccia si concretizzi (probabilità), combinata con la valutazione delle conseguenze nel caso in cui si concretizzi effettivamente (impatto). Il rischio è quindi l’unica entità soggetta a calcolo e misurabile con una scala di valori (quantitativa o qualitativa).

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Suggerimenti del Garante per il rispetto della privacy in ambito scolastico

L’ articolo Nuovo anno scolastico, tutte le norme del Garante della Privacy a cui prestare attenzione interesserà docenti e dirigenti scolastici, in quanto riporta indicazioni pratiche del Garante per la Privacy in materia scolastica, per vari aspetti.

  • Temi in classe – Possono essere assegnati anche se l’oggetto riguarda la sfera personale, purché se ne tuteli la riservatezza, specie se trattano argomenti particolarmente riservati [dati di categoria particolare; ndr].
  • Prelevamento dei minori all’uscita – Le modalità di controllo dell’identità di chi preleva il figlio (o del suo delegato) devono essere definite dall’istituto scolastico assicurando la protezione dei dati raccolti.
  • Esiti e scrutini – Nella pubblicazione di voti degli scrutini e degli esami nei tabelloni, non devono essere fornire, anche indirettamente, informazioni sulle condizioni di salute degli studenti o altri dati personali non pertinenti. Il riferimento alle “prove differenziate” sostenute, ad esempio, dagli studenti con disturbi specifici di apprendimento (Dsa) non va inserito nei tabelloni, ma deve essere indicato solamente nell’attestazione da rilasciare allo studente. La diffusione delle informazioni sul rendimento scolastico è soggetta a quanto stabilito dal Miur [Ministero dell’istruzione, università e ricerca].
  • Comunicazioni alle famiglie – Le circolari, le delibere o altre comunicazioni non rivolte a specifici destinatari non possono contenere dati personali che rendano identificabili gli alunni (ad esempio, quelli coinvolti vicende delicate).
  • Disabili e Dsa – La conoscenza di dati su disabilità e disturbi dell’apprendimento è limitata ai soli soggetti strettamente pertinenti, come ad esempio i docenti, i genitori e gli operatori sanitari.
  • Smartphone – Il loro utilizzo all’interno delle scuole deve essere disciplinato dalle istituzioni scolastiche. In ogni caso, qualora gli smartphone siano utilizzati per riprendere immagini o registrare conversazioni, l’utilizzo dovrà avvenire esclusivamente per fini personali e nel rispetto dei diritti delle persone coinvolte.
  • Foto e video – Le riprese video e fotografie raccolte dai genitori durante gite, feste e saggi scolastici non violano la privacy, in quanto sono raccolte per fini personali e destinate a un ambito familiare o amicale. Tuttavia per una pubblicazione su Internet e sui social network di immagini dei minori è indispensabile il consenso da parte dei genitori.
  • Lezioni registrate – L’alunno può registrare la lezione per scopi personali, ad esempio per motivi di studio individuale, compatibilmente con le specifiche disposizioni scolastiche al riguardo. Per ogni altro utilizzo o eventuale diffusione, è necessario il consenso delle persone coinvolte nella registrazione (professori, studenti); il consenso però non è necessario se l’utilizzo delle registrazioni è previsto nei piani didattici personalizzati per studenti con diagnosi di Dsa.
  • Graduatoria e Ata [personale che lavora nelle scuole in ruoli amministrativi, tecnici o ausiliari] – Possono essere pubblicati sul sito istituzionale della scuola le graduatorie di docenti e personale Ata, purché le liste contengano solo il nome, il cognome, il punteggio e la posizione in graduatoria; non numeri di telefono e/o indirizzi privati dei candidati.
  • Telecamere – L’eventuale installazione di sistemi di videosorveglianza deve garantire il diritto dello studente alla riservatezza. Può risultarne ammissibile l’utilizzo in casi di stretta indispensabilità, al fine di tutelare l’edificio e i beni scolastici da atti vandalici, circoscrivendo le riprese alle sole aree interessate. È inoltre necessario segnalare la presenza degli impianti con cartelli. Le telecamere che inquadrano l’interno degli istituti possono essere attivate solo negli orari di chiusura, quindi non in coincidenza con lo svolgimento di attività scolastiche ed extrascolastiche. Se le riprese riguardano l’esterno della scuola, l’angolo visuale delle telecamere deve essere opportunamente delimitato.
  • Questionari e ricerche – Per svolgere attività di ricerca tramite questionari contenenti richieste di informazioni, gli alunni o i genitori, nel caso di minori, devono essere stati preventivamente informati sulle modalità di trattamento e sulle misure di sicurezza adottate per proteggere i dati personali. La partecipazione deve essere facoltativa e per i minori i genitori devono anche fornire il consenso.
  • Dati sensibili – Possono essere trattate categorie particolari di dati personali (ad esempio dati sulle convinzioni religiose, dati sulla salute) solo se espressamente previsto da norme di legge o regolamentari. In ogni caso non possono essere diffusi i dati relativi alla salute.
  • Retta mensa – È illecito pubblicare sul sito della scuola il nome e cognome degli studenti i cui genitori sono in ritardo nel pagamento della retta o del servizio mensa o degli studenti che usufruiscono gratuitamente del servizio. Gli avvisi online devono avere carattere generale, mentre le comunicazioni indirizzate alle singole persone, devono essere a carattere individuale.

Indicazioni per l’uso della videosorveglianza nel rispetto delle regole

Si cita l’articolo Videosorveglianza nei Comuni come efficace strumento nella lotta alla criminalità: come gestirla nel rispetto della normativa sulla privacy, cui si rimanda direttamente, non potendo riassumerlo in poche frasi, perché di possibile riferimento per chiunque intenda installare un impianto di video sorveglianza, al di là che l’articolo stesso sia rivolto specificamente ai Comuni. [Sono consultabili le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video“, Versione 2.0, emesse dall’EDPB – Comitato Europeo per la Protezione dei Dati- e adottate il 29 gennaio 2020; ndr]

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Decreto trasparenza e privacy

Il D.Lgs 104/2022, cosiddetto “decreto trasparenza”, specifica tra l’altro che al lavoratore debbano essere fornite le informazioni circa il luogo di lavoro. Come precisa l’articolo Smart working & privacy: indicazioni pratiche per la regolamentazione dei dati personali, ciò si applica anche al caso dello smart working.

Vi sono misure che deve prendere il datore di lavoro per tutelare il dipendente in smart working e misure che deve osservare il lavoratore per tutelare altri interessati di cui abbia a trattare i dati.

Il datore di lavoro deve consegnare ai propri collaboratori il “regolamento per lo smart working”, registrandone la consegna. Questo documento dovrà specificare la forma contrattuale (es. assunzione in prova, contratto di stage/tirocinio, …) e potrà elencare eventuali informazioni aggiuntive relative all’interessato, necessarie proprio per la particolare forma di esercizio lavorativo, nonché illustrare e richiedere misure di mitigazione dei rischi.

Tra le informazioni relative al dipendente vi potranno essere l’ubicazione della postazione lavorativa (indirizzo di pertinenza), richiesta di un piano di lavoro e della rendicontazione delle attività svolte, richiesta di immediato avvertimento nel caso di impedimento tecnico ad esercitare le prestazioni in smart working.

L’azienda dovrebbe contribuire alle spese (connessione, energia) utilizzate [sarebbe logica una compensazione con le spese di trasferimento in ufficio non più sostenute dal dipendente; ndr]. Dovrebbe inoltre fornire i dispositivi di elaborazione da utilizzare, le istruzioni circa le piattaforme, i sistemi di messaggistica e le funzionalità autorizzate, le sicurezze da applicare a dispositivi e dati e potrebbe vietare l’utilizzo di dispositivi personali. La configurazione e l’eventuale riparazione dei dispositivi aziendali resta a carico dell’azienda. L’azienda può specificare l’abbigliamento (“dress code”) e lo sfondo richiesti per la partecipazione a sessioni in teleconferenza.

A sua volta il dipendente dovrebbe garantire un posto di lavoro con caratteristiche adeguate a livello ambientale, di riservatezza e connessione e deve mettere in atto le misure di protezione del know-how e dei dati personali degli interessati indicate dall’azienda (password sicura e quant’altro). Anche eventuale documentazione cartacea dovrebbe essere sottoposta a misure sicure di archiviazione o distruzione.

Le configurazioni per la protezione di sistemi e dati accessibili da remoto sono a carico della divisione IT aziendale, così come la definizione delle verifiche sull’efficienza degli apparati messi a disposizione.

L’azienda potrebbe eventualmente definire delle facilitazioni (welfare) per i dipendenti che non possono usufruire dello smart working, come ad es. ferie aggiuntive o corsi di formazione pagati. [Il regolamento dovrebbe prevedere anche i casi in cui il dipendente deve essere invece presente in azienda; ndr].

Dal punto di vista della privacy (protezione dei dati personali), dovrebbe essere preso in considerazione lo smart working nell’informativa e nel registro dei trattamenti, nell’analisi dei rischi con la definizione delle misure di protezione, nel ciclo di vita  degli asset forniti ai dipendenti, nelle attività di audit. Se lo smart working coinvolge sistemi decisionali automatizzati o di monitoraggio, dovrebbe essere effettuata anche una valutazione di impatto (Art. 1-bis del D.Lgs 104/2022 [comma 4]).

L’articolo, infine, accenna ad uno studio secondo il quale lo smart working ridurrebbe la circolazione di nuove idee, venendo a mancare i legami che si instaurano tra colleghi e gruppi di lavoro quando le attività si svolgono in presenza [contro l’aumento di produttività viceversa prospettato, ormai da parecchi anni circa il lavoro remoto esercitato in paesi nord europei, per il maggior benessere derivante dall’ambiente domestico e da un orario elastico; ndr].

Adempimenti privacy per i medici di famiglia

L’articolo I medici di famiglia devono ‘curare’ non solo la salute dei pazienti, ma anche la loro privacy sottolinea che, in base al GDPR, i medici di famiglia dovrebbero curare l’aspetto privacy, che invece viene disatteso quando vengono utilizzati indirizzi email privati o addirittura Whatsapp per l’invio di referti.

Le “finalità di cura” (medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale) rendono lecito il trattamento di dati personali anche di categoria particolare, quali quelli sanitari, senza la necessità di consenso da parte degli interessati, tuttavia ciò non esime dalla necessità di garantirne la segretezza, per cui il consenso autonomo e specifico è necessario per trattamenti attraverso modalità digitali di consegna. In particolare la refertazione online richiede misure di sicurezza che passino almeno da sistemi di identificazione e di sistemi di comunicazione sicuri e, ancora, per la consegna tramite posta elettronica, il referto digitale o la sua copia informatica dovrebbero essere spediti in forma di allegato e non come testo e, inoltre, dovrebbero essere protetti con cifratura e accessibili tramite una password consegnata separatamente.

Il rispetto del GDPR quale elemento di valutazione nelle gare di appalto e per evitare la risoluzione del contratto

Secondo l’articolo Esclusa dall’appalto la società che viola le norme sulla privacy, Autorità garanti per la privacy di alcuni stati europei hanno già applicato decisioni per l’esclusione, da appalti pubblici e privati, di società che non hanno rispettato il GDPR. In particolare il rispetto delle disposizioni sulla protezione dei dati personali è

  • criterio di valutazione delle offerte per le aggiudicazioni;
  • condizione da rispettare nell’esecuzione delle forniture e dei lavori;
  • causa di scioglimento del contratto per inadempimento, in caso di inosservanza.

Il rispetto della privacy nelle procedure e nei contratti di appalto è, dunque, da considerare allo stesso livello del rispetto delle disposizioni sulla sicurezza degli ambienti di lavoro o sulla tutela dei diritti dei lavoratori. Le norme sulla privacy incidono già pesantemente sui rapporti privati con il timore delle sanzioni amministrative; a ciò si aggiunge la possibilità che un operatore aggressivo potrebbe strumentalizzare le norma sulla privacy con segnalazioni al Garante, per trarre vantaggi ai danni della controparte.

Per i casi specifici relativi alle decisioni prese da autorità tedesche e da autorità italiane, si veda l’articolo originale.

La possibilità di infrangere, anche in forma lieve, il GDPR già in fase di offerta o in corso di esecuzione dell’appalto è piuttosto elevata e starebbe all’appaltante/committente modulare corrispondentemente i criteri di graduatoria, ciò che non esclude comunque la possibilità di una contestazione da parte di terzi (diversi dall’aggiudicatario), che verrebbe rimessa alla decisione dei giudici con esiti imprevedibili [e probabili tempi di giudizio inaccettabili; ndr], almeno sino alla formazione di orientamenti consolidati.

Criteri di valutazione delle offerte in fase di gara potrebbero essere le procedure di cui i candidati all’appalto si sono dotati, nonché le eventuali certificazioni privacy acquisite, oltre che, per prima cosa, la conformità delle offerte stesse al GDPR. Potrebbe essere richiesta e presa in considerazione l’incidenza del costo per la privacy sul prezzo finale, purché non a discapito della qualità della fornitura.

I capitolati di appalto dovrebbero descrivere analiticamente i livelli di servizio “privacy”, specie per la fornitura di servizi ad alto contenuto di trattamento di dati personali. Dovrebbero anche indicare quali violazioni della privacy, in fase esecutiva dell’appalto, possono determinare lo scioglimento del contratto [o l’applicazione di penali; ndr].

L’autore sottolinea infine, come l’Art. 5 del GDPR comprenda tra le condotte sanzionabili anche imprecisioni o mancanze, riguardo alla privacy, nella stesura dei contratti di appalto o nella verifica della loro esecuzione.

Tutte le imprese che hanno utilizzato Google Analytics sarebbero a rischio di sanzioni

L’articolo Scatta il rischio sanzioni per i siti web utilizzatori di Google Analytics 3 o servizi simili ricorda che il 9 giugno 2022, il Garante italiano, alla stregua di altri colleghi europei, ha dichiarato illegittimo l’utilizzo del servizio di statistiche sulla navigazione web, Google Analytics 3, concedendo 90 giorni di tempo, ormai scaduti, prima di avviare le ispezioni in merito.

Secondo l’autore dell’articolo, è a rischio di sanzioni anche chi nel frattempo si è messo a posto passando a servizi che non inviano dati personali negli USA, o ha semplicemente interrotto del tutto il ricorso ai servizi di analisi delle visite alle proprie pagine web (preferendo rinunciare, così, alle utilità del servizio per la programmazione delle proprie attività e delle campagne di marketing). Infatti, il ravvedimento operoso non estingue l’illecito amministrativo commesso in passato.

Per le imprese rimane l’incertezza: non si sa se possa andare bene la versione n. 4 di Google Analytics o se vadano bene le alternative a Google; mentre si sa che non è sufficiente troncare l’indirizzo IP del computer, con la funzione di anonimizzazione.

Il ‘Decreto Trasparenza’ riguarda anche la privacy dei lavoratori

Come ricorda l’articolo Il principio della trasparenza applicato al ‘Decreto Trasparenza’, Il Decreto Legislativo n. 104 del 27 giugno 2022, cosiddetto Decreto Trasparenza, è entrato in vigore lo scorso 13 agosto. Esso riguarda l’obbligo del datore di lavoro di informare il lavoratore delle condizioni applicabili al contratto o al rapporto di lavoro.

Per il principio della trasparenza, in coerenza con il GDPR, sono stati introdotti nuovi obblighi informativi, relativi all’utilizzo di sistemi decisionali o di monitoraggio automatizzati finalizzati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.

Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300 [“Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e nell’attività sindacale nei luoghi di lavoro e norme sul collocamento”. L’Art. 4 riguarda gli impianti audiovisivi. Ndr]

Decreto Trasparenza: troppo generici i riferimenti ai sistemi e monitoraggi automatizzati

Con il Decreto Trasparenza [di cui all’articolo precedente] sono sorti dubbi interpretativi circa l’informativa relativa ai «sistemi decisionali e di monitoraggio automatizzati», così come evidenziato dall’articolo Decreto Trasparenza: sistemi automatizzati, l’informativa va delimitata.

Il GDPR già prevede il divieto di assoggettare un singolo individuo a una decisione generata «unicamente» da sistemi automatizzati, a meno che non siano previste adeguate misure di tutela dei diritti della persona. Ma la nozione di sistemi automatizzati viene usata Decreto Trasparenza con una portata molto più ampia. Infatti, i datori di lavoro devono comunicare ai dipendenti non solo gli aspetti del rapporto di lavoro sui quali incide l’uso dei sistemi automatizzati, informandoli anche degli scopi, delle finalità, della logica e del funzionamento degli stessi, ma devono fornire anche informazioni più dettagliate su tecniche, categorie di dati, parametri principali utilizzati per programmare i sistemi, misure di controllo adottate, eventuali processi di correzione, responsabile del sistema di gestione della qualità, livello di accuratezza e sicurezza informatica dei sistemi, impatti potenzialmente discriminatori.

La definizione di “sistemi automatizzati” con i casi riportati nel Decreto potrebbe, in un’interpretazione estensiva, arrivare ad abbracciare tutti gli strumenti usati dalla fase di selezione del personale fino alla gestione del rapporto di lavoro e alla sua cessazione e costringere quindi tutte le imprese ad effettuare l’informativa in merito.

Altro dubbio riguarda il livello di automazione dei sistemi: rientrano nella norma tutti o solo quelli che sono interamente automatizzati? Verrebbe da escludere quei sistemi che, pur essendo automatizzati, richiedono il decisivo intervento umano per pervenire alle decisioni in capo ai dipendenti, come da Art. 22 del GDPR. Tuttavia ciò non è affatto una certezza. Il rischio aumenta considerando che la comunicazione sui sistemi automatizzati deve essere effettuata anche alle rappresentanze sindacali aziendali (o in assenza, territoriali) e che l’informativa crea una sovrapposizione con gli adempimenti dovuti in base alla normativa privacy.

In caso di attacchi ransomware, devono essere informati gli interessati

La frequenza degli attacchi informatici, anche di ransomware, è aumentata, eppure sembra che non siano sempre eseguite le relative gestioni dei data breach e delle conseguenti comunicazioni verso gli interessati. L’articolo Attacchi ransomware, quando si applica l’obbligo di informare gli interessati rammenta le prescrizioni date dal GDPR.

L’organizzazione che ha subìto la violazione non deve essere solamente in grado di notificarla [all’autorità di controllo; ndr] entro le 72 ore dalla scoperta, ma deve essere in grado di valutare anche se, quando e come informare gli interessati, senza ingiustificato ritardo, per mitigare le conseguenze del data breach (si vedano in dettaglio l’Art. 34 ed i Considerando 86 del GDPR). Ciò comporta lo svolgimento di una valutazione dell’impatto della violazione nei confronti degli interessati: se viene riscontrato un “rischio elevato per i diritti e le libertà delle persone fisiche” il titolare dell’organizzazione ha l’obbligo di provvedere alla comunicazione nei confronti degli interessati. Tuttavia, non è richiesta questa comunicazione in caso di:

  • applicazione di misure adeguate di protezione “in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura”;
  • adozione di misure di mitigazione “atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati”;
  • sforzi sproporzionati per la comunicazione individuale e scelta di veicolarla tramite un canale pubblico (ad es. su sito web e/o canali social) “tramite la quale gli interessati sono informati con analoga efficacia.”.

L’autore consiglia l’implementazione di una procedura di “incident response” e la predisposizione di una bozza di comunicazione agli interessati, per i casi di ransomware, da integrare in fase di investigazione ed inviare anche prima della notifica completa al Garante, che di solito si effettua alla chiusura dell’incidente con gli esiti delle analisi svolte.

E se i provvedimenti del Garante fossero prescrittivi, prima di diventare sanzionatori?

L’articolo A proposito di Cnil e di approccio ‘nudge’ dei poteri dei Garanti Privacy ex art 50 del Gdpr riferisce che l’Autorità francese per la protezione dei dati personali (CNIL) adotta, in funzione della gravità della non-compliance rispetto al GDPR rilevata, un percorso di progressivo accompagnamento dei Titolari del trattamento al sostanziale rispetto della privacy, concedendo un periodo fino a dodici mesi per realizzare quanto richiesto.

Ciò è permesso dall’assetto normativo francese, che regolamenta l’istituto della messa in mora, con una specifica legge in materia di trattamento dei dati, archivi e libertà.

E’ auspicabile che questa procedura “nudge” [spinta, stimolo; ndr]  (termine preso dalla pubblicazione “Nudge: Improving Decisions about Health, Wealth, and Happiness” di Richard Thaler e Cass Sunstein) sia adottata anche dalle Autorità garanti di altri paesi, a partire dal nostro. Del resto, Nell’Art. 58 del GDPR è previsto, per le autorità di controllo, il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine”.

L’audit sul Decreto Trasparenza

L’articolo L’audit sul Decreto Trasparenza approfondisce tutti gli argomenti relativi ad un possibile audit per la verifica della conformità aziendale con il Decreto Trasparenza (audit separato o congiunto con l’audit relativi ad altri sistemi) in relazione al GDPR. [L’elenco prodotto dall’autore dell’articolo può anche essere utilizzato per la verifica delle azioni predisposte dall’azienda in fase iniziale. Qua se ne colgono i punti essenziali. Ndr]

L’audit può anche essere condotto a campione. Devono essere predisposti preventivamente i criteri di verifica e di accettazione dei risultati. Le funzioni aziendali coinvolte sono le Risorse umane ed il settore ICT. La conduzione potrà essere congiunta da parte del DPO e del Titolare del trattamento.

Da un punto di vista documentale deve essere verificato se è previsto che prima della modifica di un trattamento si controlli se questa rientra nell’ambito del Decreto Trasparenza, per l’attuazione delle eventuali misure preventive, e se è prevista la garanzia del diritto di accesso direttamente da parte dei lavoratori o delle organizzazioni sindacali.

Devono essere verificati:

  • l’elenco dei dispositivi che presentano processi decisionali automatizzati,
  • che questi siano stati considerati nell’informativa, nel registro dei trattamenti e l’analisi dei rischi, e che una preventiva valutazione di impatto abbia avuto esito favorevole,
  • che per i dispositivi con sistemi decisionali automatizzati ancora in fase di implementazione siano previste le misure previste dal Decreto,
  • gli addetti i trattamenti siano stati formati in merito al Decreto,
  • venga effettuata la conservazione delle informative trasmesse e relative prove di trasmissione (almeno 5 anni dalla cessazione del rapporto di lavoro).

L’autore dell’articolo chiarisce che i sistemi che inviano segnalazioni a seguito di eventi prestabiliti (es. alert per accessi non autorizzati o in orari sospetti al sistema informativo), ma senza alcuna decisione automatizzata, non rientrano nell’ambito del Decreto (vi rientrerebbero, com da es. precedente, se in automatico l’accesso del lavoratore fosse bloccato).

E’ necessario che siano conosciuti i documenti emessi dal Ministero del Lavoro e delle Politiche sociali (ad es. la Circolare n. 19 del 20 settembre 2022).

A seconda dei rilievi emersi durante l’audit devono essere emesse Non Conformità o semplici Osservazioni (raccomandazioni). Il rapporto di audit dovrà contenere le evidenze riscontrate e tutti i riferimenti quindi dovrà essere trasmesso alle funzioni di audit ed a quelle coinvolte.

L’esecuzione degli audit periodici risponde all’esigenza di una verifica costante e contribuisce altresì al miglioramento dell’organizzazione.

Comunicazioni e informazioni da fornire se avviene una violazione dei dati personali

Sottolineando che, in caso di data breach, lo stress per gli addetti ai lavori quali il DPO e il CISO (Chief Information Security Officer), può arrivare a livelli di esaurimento (burnout), l’articolo Data breach da burnout per CISO e Data Protection Officer ricorda le prescrizioni del GDPR (Regolamento UE sulla protezione dei dati personali) in merito alle comunicazioni da dare ed alle relative scadenze.

L’Art. 33 del GDPR prescrive che il titolare del trattamento deve notificare la violazione all’autorità di controllo competente “senza ingiustificato ritardo entro 72 ore dal momento in cui ne è venuto a conoscenza”, e le linee guida del Working Party 29 chiariscono che il tempo inizia a decorrere dal momento in cui l’organizzazione acquisisce piena consapevolezza dell’avvenuta violazione, senza possibilità di more, quindi anche senza riguardo a orari, festività e ferie.

E sempre senza ingiustificato ritardo, “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, dovranno essere informati anche i diretti interessati, che in certi casi potrebbero essere migliaia, i quali, venuti a sapere del data breach, potrebbero a loro volta esercitare i loro diritti sulla privacy generando una pioggia di istanze da gestire nei 30 giorni normalmente previsti dalla normativa.

Il coinvolgimento del DPO deriva dall’Art. 38 del GDPR, che richiede che il Data Protection Officer “sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.

IN BREVE, DALL’ITALIA E DAL MONDO

Risarcimenti per danni a seguito violazione della privacy definiti a casaccio

Senza stare a riportare i dettagli dell’articolo Sui danni da privacy le sentenze europee prendono l’altalena tra risarcimenti irrisori e indennizzi a caso, si evidenzia come le varie autorità per la protezione dei dati personali prevedano risarcimenti ai singoli cittadini interessati, per violazioni della privacy, che variano da poche decine a qualche migliaio di Euro, in apparenza senza un giustificato motivo per la quantificazione degli indennizzi stessi. In certi casi i risarcimenti non sono neppure contemplati.

Da un altro punto di vista, si consideri che, per un’impresa obbligata al risarcimento, anche poche decine di Euro pro-capite possono costituire un ingente esborso quando moltiplicate per un numero rilevante di interessati.

Lotta alle fake-news

L’articolo Quando Facebook può cancellare i post no vax e sospendere l’account dell’utente, riferisce che il Tribunale di Varese ha stabilito che i social network possono sospendere gli account degli utenti no vax e rimuovere i contenuti che veicolano disinformazione sanitaria.

Il Garante della privacy italiano interviene per garantire un uso dell’AI rispettoso dei dati personali

Come dice il titolo stesso dell’articolo G7 dei Garanti Privacy: l’Autorità italiana dice no all’uso dei dati personali per forme di sorveglianza massiva tramite l’Intelligenza Artificiale, al G7 dei Garanti della Privacy che si è tenuto il 7 e 8 settembre 2022, l’Autorità italiana ha chiesto che nel documento finale dei lavori per un modello etico distintivo di governance dell’Intelligenza Artificiale venisse inserito “il rifiuto di un uso indiscriminato dell’IA applicata ai dati personali che porti a forme di sorveglianza massiva con l’evidente scopo di controllare e manipolare i comportamenti degli individui a partire dai dati personali, raccolti, analizzati e incrociati in grandi quantità, varietà e velocità”.

Il punto sul GDPR ed ombre su Workspace

L’articolo E se il GDPR non bastasse più? La nuova frontiera della tutela dei dati, cui si rimanda, per la lettura integrale, fa il punto sul GDPR e le successive integrazioni e pronunciamenti.

In particolare, però, viene riferito di un un nuovo provvedimento del 14 luglio 2022, questa volta del Garante Danese, ha vietato l’utilizzo di Google Workspace, sempre in relazione a possibili trasferimenti verso paesi extra UE. [Dalla traduzione del testo danese, si evince peraltro che il provvedimento è rivolto ai comuni danesi in riferimento all’utilizzo di Chromebook e Workspace nelle scuole primarie e che il divieto sussiste “fino a quando non sarà stata effettuata un’adeguata documentazione e una valutazione d’impatto e fino a quando le operazioni di trattamento non saranno state rese conformi al regolamento”. Tuttavia se il provvedimento dovesse avere la portata, per divieto di utilizzo e per estensione agli altri paesi membri dell’UE, così come è stato per l’uso dei Google Analytics, di fatto si bloccherebbero le attività di milioni di aziende. Ndr]

Un regolamento europeo per garantire la sicurezza dei dati nei prodotti digitali

L’articolo Cyber Resilience Act: proposta di regolamento europeo a tutela del mercato unico digitale europeo informa che la Commissione europea ha adottato recentemente la proposta di Regolamento europeo “on horizontal cybersecurity requirements for products with digital elements”, già ridenominata Cyber Resilience Act., che è finalizzata alla sicurezza informatica dei prodotti “con elementi digitali”, intesi come prodotti o componenti software e hardware. Si intende, da un lato, garantire l’immissione nel mercato di prodotti con elementi digitali sicuri, curando tra l’altro la trasparenza delle proprietà di sicurezza, e, dall’altro lato, sensibilizzare gli utenti nella scelta e nell’utilizzo di hardware e software sicuri, dal punto di vista della disponibilità, autenticità, integrità e riservatezza dei dati.

Parlando di requisiti “orizzontali”, ci si riferisce a regole generali e non specifiche per singoli settori o prodotti, pur lasciando aperta la possibilità che specifici domini e ambiti siano successivamente regolamentati.

La proposta si applica a qualsiasi prodotto software o hardware e alle relative soluzioni di elaborazione dati a distanza, purché queste ultime siano essenziali all’operatività del prodotto. Nella proposta sono citati anche i portafogli digitali europei ed i sistemi di intelligenza artificiale ad alto rischio, mentre non rientrano nel campo di applicazione i servizi come i Software-as-a-Service, i prodotti sviluppati per finalità militari o di sicurezza nazionale, i dispositivi medici; i prodotti rilasciati temporaneamente solo per finalità di test ed i prodotti relativi all’attività di omologazione dei veicoli.

La proposta illustra una serie di obblighi, aventi natura tecnica e organizzativa, in capo principalmente a produttori, importatori e distributori, i quali sono tenuti a garantire lo sviluppo by design e la circolazione di prodotti sicuri. Di seguito vengono indicati i principali.

Il produttore ha l’obbligo di eseguire il risk assessment durante le fasi di pianificazione, progettazione, sviluppo, produzione, consegna e manutenzione del prodotto; va conservato per almeno 5 anni dall’immissione sul mercato. Il produttore è tenuto a garantire la sicurezza del prodotto e l’efficace gestione delle eventuali vulnerabilità. Deve fornire agli utenti le informazioni necessarie, tra cui una esaustiva documentazione tecnica e la dichiarazione europea di conformità del prodotto (attraverso un meccanismo di autovalutazione di conformità analogo al principio di accountability dl GDPR). Vi sono inoltre obblighi di notificazione e di reportistica delle informazioni riguardanti incidenti e vulnerabilità del prodotto. Gli allegati alla proposta di regolamento contengono le precisazioni circa i requisiti da rispettare.

La proposta di regolamento si inserisce nell’ambito della strategia europea in materia di cybersecurity e risulta complementare rispetto al Regolamento (UE) 2019/881 “relativo all’ENISA (l’Agenzia dell’Unione europea per la cybersicurezza) e alla certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione”.

La proposta di regolamento ha senz’altro delle relazioni con il Regolamento (UE) 2019/881 concernente la certificazione della cybersicurezza e recepito dall’Italia con il D.Lgs del 3 agosto 2022, n. 123 (vedi precedente articolo Certificazione cybersicurezza: definito il quadro normativo nazionale, ma non basta).

La spinta al miglioramento digitale per le PA può offrire spunti anche alle aziende private

[Si riporta solo la premessa dell’articolo originale PNRR e nuova Pa: tra consapevolezza privacy, tecnologie informatiche e social network, cui si rimanda]

<< L’attuazione del PNRR passa anche attraverso una maggiore formazione e consapevolezza riguardo ai temi della protezione dei dati personali nella pubblica Amministrazione e, in generale, riguardo all’ambito della tecnologia, della cybersecurity, nonché delle competenze manageriali. >>

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • L’agenzia statunitense Federal Trade Commission ha intentato una causa contro la Kochava Inc. per la vendita di dati di geolocalizzazione raccolti da centinaia di milioni di dispositivi mobili.
  • In Brasile, Facebook è stato condannato a pagare una multa pari a circa 1,25 milioni di euro per la fuga di dati personali degli utenti brasiliani nell’ambito della vicenda “Cambridge Analytica”.
  • Instagram ha violato la normativa europea sulla protezione dei dati personali di minori e per questo il garante della privacy irlandese ha inflitto una maxi sanzione da 405 milioni di euro a Meta, quale proprietaria del social network. [ancora una volta si evince dall’importo come alcuni stati membri della UE riescano, di fatto, a contribuire alle proprie finanze, a fronte di legittime contestazioni per violazione del GDPR; ndr]
  • Da quando è entrato in vigore il GDPR, le violazioni in materia di protezione dei dati personali si sono accumulate fino a gravare complessivamente per 8,1 miliardi di euro sui bilanci dei giganti del web. Negli ultimi anni la società più colpita è stata Meta, proprietaria di Facebook.
  • Le attività degli hacker stanno continuando con grande intensità nel 2022. In Italia il numero di alert relativi a dati rilevati sul dark web è stato di oltre 780.000 nella prima metà del 2022, con un aumento di quasi il 45% rispetto al semestre precedente, mentre gli alert relativi all’open web sono stati oltre 70.000.
  • L’Autorità di protezione dei dati personali francese, la CNIL, ha comminato una sanzione di 600.000 euro alla catena alberghiera AccorHotels, che ha sede in Francia ma con clienti in tutta Europa, per aver utilizzato una newsletter contenente offerte commerciali di suoi partners che veniva inviata automaticamente, senza alcun consenso esplicito da parte degli interessati e senza adeguata informativa. Il caso mostra l’applicazione degli Art. 60 e seguenti del GDPR, relativi alla Leading Authority e al meccanismo detto “One Stop Shop” (OSS). Infatti la CNIL ha informato le Autorità di controllo dei Paesi interessati, rendendosi disponibile a collaborare con loro in sede ispettiva e adeguando poi la sanzione, inizialmente prevista per un ammontare più esiguo, alle richieste del Comitato europeo per la protezione dei dati (EDPB) successivamente coinvolto.
  • Il Garante della privacy, rilevando un conflitto di interessi, ha sanzionato un Comune colpevole di avere delegato per la difesa in alcuni giudizi lo stesso professionista legale già individuato come responsabile della protezione dei dati (articolo 37 del Gdpr).
  • Il Garante ha ammonito un istituto scolastico di Tarvisio per aver installato telecamere di sorveglianza con visuali anche su aree interne frequentate dagli studenti, anche minori, violando il GDPR in relazione al principio di liceità, correttezza e trasparenza ed al principio di minimizzazione dei dati trattati.
  • La Corea del Sud ha inflitto sanzioni milionarie (in tutto 77 milioni di dollari) alle società Alphabet e Meta per violazione della normativa coreana sulla privacy. 
  • Aver nominato un Data Protection Officer in conflitto di interessi è costato una sanzione da 525.000 euro a una filiale di un gruppo tedesco di e-commerce. Infatti, il ruolo di DPO era stato affidato all’amministratore delegato di due società di servizi che trattavano dati personali per conto della società.
  • Un’università italiana è stata formalmente ammonita dal Garante della privacy per lo smarrimento di 93 fascicoli cartacei relativi ad altrettanti laureati, nonostante nessun dato sia andato perso grazie alla digitalizzazione dei dati stessi.
  • Il Garante per la privacy ha inviato a Facebook Italia (Meta) una richiesta urgente di chiarimenti in relazione alle attività intraprese dal social network riguardo alle elezioni per il rinnovo del Parlamento italiano. L’intenzione del network era quella di contrastare le interferenze e rimuovere i contenuti che disincentivano al voto ed il Garante intende accertare che non vi siano stati trattamenti di dati idonei a rivelare le opinioni politiche degli interessati o a negare la libera manifestazione del pensiero.
  • Facebook (e Meta) non possono raccogliere in modo massiccio i dati degli utenti, come fanno ora. La violazione della riservatezza è anche un mezzo per fare concorrenza sleale. Di conseguenza anche i garanti Antitrust possono valutare le infrazioni delle regole sulla protezione dei dati (in particolare il GDPR) per giudicare se un’impresa ha leso la concorrenza o se la sua condotta è abusiva nei confronti dei consumatori

    ing. Michele Lopardo

    Responsabile Qualità @ Wondersys