RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Intelligenza Artificiale e privacy

Dall’AI alle problematiche privacy il passo è breve. L’articolo “Un modello compliant di AI Corporate Governance” indica quegli elementi indispensabili per gestire la protezione dei dati personali nell’ambito di un utilizzo aziendale dell’intelligenza artificiale.

  • Accountability, come processo di responsabilizzazione dinamico che interessa l’intera organizzazione, a tutti i livelli.
  • Assetto organizzativo dell’azienda, da declinare, in funzione delle attività di intelligenza artificiale, come politica aziendale, modello organizzativo e processo decisionale, tenendo conto degli impatti di natura patrimoniale e finanziaria.
  • Gestione del rischio, per una strategia di misure di prevenzione, mitigazione e di trattamento.
  • Conformità, attuata attraverso processi concreti ed efficaci, al di là di una mera gestione cartolaria.

Proteggere le informazioni riservate dell’azienda prevale su richieste di accesso ai dati

L’articolo “Know-how e privacy, segreti d’impresa sotto chiave“ informa che, nell’ingiunzione n. 380 del 20 giugno 2024, il Garante della privacy ha considerato prevalente l’interesse delle imprese a proteggere le proprie informazioni coperte da segreto e riservatezza aziendale, rispetto ad una richiesta dell’interessato (ad esempio un cliente, un fornitore o un ex dipendente) ad avere accesso a tutte le email che lo possono riguardare.

L’interessato infatti potrebbe rilevare e rivelare dati aziendali confidenziali che l’azienda vorrebbe e dovrebbe mantenere tali, specie in caso di rapporti conflittuali con l’interessato stesso.

Tuttavia sono sempre i titolari del trattamento dati personali a dover valutare e motivare, in base all’accountability, se prevalga il loro interesse alla riservatezza aziendale rispetto al rilascio delle informazioni.

Vita scolastica: attenzione alla privacy

L’ articolo “Registrazione delle lezioni, temi in classe, pubblicazione voti, cellulare in aula: le regole del Garante della privacy in vista del nuovo anno scolastico”, al cui testo si rimanda, interessa gli educatori e gli operatori scolastici e finanche gli stessi studenti.

Dati ed informazioni: non sono esattamente la stessa cosa

L’articolo “Dati, informazioni e sistema di gestione della protezione dei dati personali” vuole innanzitutto chiarire la differenza tra dato e informazione, che spesso viene tralasciata utilizzando i due termini come sinonimi. Se, in prima battuta, si può dire che un insieme pertinente e coeso di singoli dati costituisce un’informazione, vengono riportate le definizioni dell’Enciclopedia Treccani, che qua sono riassunte.

L’organizzazione, sia logica sia fisica, dei dati può essere descritta mediante una classificazione gerarchica, in ordine di complessità crescente:

  • data item: quantità elementare di informazione, riguardo a un singolo soggetto, non ulteriormente scindibile, usualmente registrata in un byte o in una parola;
  • data aggregate: collezione di informazioni, significative solo nel loro complesso (nome della via, numero civico, città, che singolarmente sono data item, insieme costituiscono un indirizzo);
  • data record: insieme di più informazioni, anche fra loro eterogenee, ma tutte riguardanti uno stesso soggetto (es. il valore dello stipendio lordo, netto e delle trattenute del dipendente XX nel mese di maggio);
  • data set: collezione di record, omogenei nelle informazioni che contengono, ma riferite a soggetti diversi o allo stesso soggetto in tempi diversi (es. il valore dello stipendio lordo di tutti i dipendenti nel mese di maggio);
  • data file: collezione di data set (es. il valore dello stipendio lordo mensile di tutti i dipendenti nell’anno 20xx).

Quindi, Il “dato” è un elemento oggettivo e non interpretabile della realtà, e non è contestualizzato.

L’informazione è l’insieme di uno o più dati, elaborati ed interpretati in uno specifico contesto.

Il sistema di gestione della protezione dei dati consiste in un insieme di politiche, processi, tecnologie e controlli, progettati per proteggere i dati personali e le informazioni sensibili, gestendone l’intero ciclo di vita, dalla loro raccolta alla distruzione, in conformità con le leggi sulla privacy.

Un sistema di gestione della protezione dei dati è sinergico ad un sistema di protezione delle informazioni. La protezione delle informazioni passa dalla riduzione dell’accesso alle informazioni aggregate, ma più i dati sono organizzati in modo complesso, tanto maggiore è la necessità di definire adeguate misure di protezione, magari attraverso il MOP (Modello Organizzativo Privacy).

Anche, e a maggior ragione, la didattica digitale a distanza coinvolge la privacy

Anche l’articolo “Scuola: sì alla didattica «onlife», ma non a discapito della privacy degli studenti” è a pro degli operatori scolastici. Il “DM 89/2024” ha introdotto da qualche anno la Didattica Digitale Integrata nelle scuole. Si tratta di una  combinazione di lezioni in presenza e a distanza, sia in modalità sincrona (in presenza nell’aula virtuale) che asincrona (le lezioni sono registrate).

E’ necessario che ciò avvenga nel rispetto del GDPR per la tutela dei dati personali: misure di sicurezza della rete, informative privacy per gli interessati (studenti, docenti ed eventualmente i genitori), eventuale valutazione di impatto (DPIA). La base legale del trattamento è data dalla necessità di adempiere ad un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri attribuiti all’amministrazione pubblica.

Le “Linee guida sulla Didattica digitale integrata“, allegate al decreto, forniscono indicazioni per la progettazione del Piano scolastico per la didattica digitale integrata. Il doc-web 9886884, vademecum “La Scuola a Prova di Privacy”, emesso da Garante della privacy, illustra le tematiche connesse al trattamento dei dati personali in ambito scolastico.

L’accettazione dell’incarico al trattamento dati personali, da parte dei dipendenti, è obbligatoria

Quanto affermato nel titolo stesso dell’articolo “Il dipendente che non firma per accettazione la nomina di incaricato privacy va sospeso dal lavoro e dalla retribuzione” trova la sua validazione in una sentenza del tribunale di Udine dello scorso agosto 2024.

Il datore di lavoro, di fronte ad un rifiuto di effettuare il trattamento dei dati personali connesso alla propria mansione, non è tenuto a cambiare mansione al dipendente e, in presenza di un trattamento effettuato senza accettazione dell’incarico, sarebbe passibile di sanzioni per infrazione del GDPR.

Peraltro, il GDPR non prescrive in maniera tassativa che gli atti di autorizzazione debbano essere sempre individuali e firmati per accettazione da parte di ogni singolo lavoratore. Anzi lo stesso codice della privacy (d.lgs. 196/2003) concede di individuare le modalità più opportune per autorizzare al trattamento dei dati le persone che operano sotto la loro autorità diretta. Sono, pertanto, compatibili atti di designazione impersonali e cioè per aree o settori organizzativi. L’articolo suggerisce quindi l’opportunità che già l’atto di assunzione specifichi le conseguenze sul rapporto di lavoro derivanti dalla normativa sulla privacy, senza creare equivoci.

Attenti a quel che pubblicate sui social!

L’articolo “Social network e nativi digitali: da semplice utilizzatore diventare titolare di un trattamento è un attimo” non è di pertinenza aziendale e lavorativa, riguarda piuttosto i requisiti privacy che possono competere a semplici cittadini. Tuttavia mette in guardia da un rischio di violazione della privacy, che ognuno dovrebbe considerare [anche se nell’articolo si fa specifico riferimento ai giovani, nel presupposto che, nonostante la maggior confidenza digitale, siano meno consci delle problematiche privacy].

La questione riguarda l’eccezione rispetto alle disposizioni del GDPR, previste, dall’Art. 2 comma 2, per i << trattamenti di dati personali effettuati da una persona fisica e per l’esercizio di attività a carattere esclusivamente personale o domestico >>.

Gestendo dati al di fuori dell’attività lavorativa, come singola persona, si rientra senz’altro nella prima condizione. E’ la seconda che può indurre in errore; infatti nel momento in cui si pubblicano sui social, in condivisione globale, dati personali [magari appartenenti a categoria particolare, come possono essere le foto di minori] si oltrepassa la soglia dell’ambito domestico, si diventa titolari del trattamento [e legalmente perseguibili].

[Peraltro l’ambito domestico non dovrebbe essere considerato quello strettamente familiare, ma comprensivo anche di una cerchia di amici e conoscenti, purché sempre in numero limitato. Ndr].

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

La scadenza per l’applicazione della Direttiva NIS2 è ormai alle porte

Il 18 ottobre 2024 entra in vigore la Direttiva NIS2 [Direttiva UE 2022/2555, che l’Italia ha già recepito con il DL 138/2024 del 4 settembre scorso; ndr]. Come ricorda l’articolo “La Direttiva NIS2 ed il suo recepimento nella normativa nazionale: un nuovo standard per la cybersecurity in Europa”, essa persegue l’obiettivo della creazione di un framework di cybersicurezza europeo, introducendo requisiti più stringenti per la gestione dei rischi, con un approccio multirischio, e la segnalazione degli incidenti delle minacce e dei “quasi incidenti”, richiedendo l’implementazione di misure tecniche e organizzative adeguate ed ampliando il suo campo di applicazione a più settori ed entità (le organizzazioni pubbliche e private).

Gli incidenti significativi devono essere notificati entro 24 ore e seguiti da un rapporto completo entro 72 ore.

La NIS2 include ora (rispetto alla NIS1) settori critici come energia, trasporti, sanità e infrastrutture digitali, eliminando la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali. Anche micro e piccole imprese saranno coinvolte, se operanti in settori chiave, inducendo un incremento dei costi che per esse potrebbe essere significativo.

Inoltre si allinea con altre regolamentazioni sulla protezione dei dati come il GDPR e l’Atto sulla Resilienza Cibernetica, introducendo misure di supervisione e applicazione più rigorose, incluse le sanzioni.

L’Agenzia per la Cybersicurezza Nazionale (ACN) avrà il compito di supervisionare la conformità e fornire linee guida alle entità coinvolte. Attraverso il CSIRT Italia (Computer Security Incident Response Team). L’ACN provvederà a monitorare, analizzare ed intervenire in risposta alle minacce cyber, dovrà promuovere la formazione e la consapevolezza sulla cybersecurity e utilizzare metodi di comunicazione sicuri.

Le entità destinatarie dovranno adottare misure tecniche, operative e organizzative per gestire i rischi di cybersecurity, per i sistemi ICT e per la rete, e sviluppare piani di continuità. La gestione del rischio dovrà comprendere la catena di approvvigionamento e, nello specifico, dovrà prevedere aspetti operativi per la resilienza e l’integrità del dato, per la gestione dell’identità digitale, per la trasmissione sicura dei dati e per la formazione e consapevolezza sul tema cybersicurezza del proprio personale.

Secondo il DL di adozione della NIS2, non devono derivare nuovi o maggiori oneri a carico della finanza pubblica e le amministrazioni pubbliche devono provvedere con le risorse già in essere. Ciò non significa affatto che non vi saranno costi di implementazione [anzi se ci domanda che, in assenza di stanziamenti finanziari ad hoc, con quali risorse l’ACN e il CSIRT Italia affronteranno i nuovi compiti, la risposta potrebbe essere “attraverso l’attribuzione degli oneri di verifica alle organizzazioni che saranno verificate”, nonché con l’autofinanziamento derivante dalle sanzioni che saranno comminate. Ma questa è solo un’ipotesi personale. Ndr].

Il lato positivo è che si può d’altronde affermare che i maggiori costi per la cybersecurity dovranno produrre, almeno globalmente, minori oneri per gli impatti derivanti da minacce andate a segno.

Un articolo relativo alla cybersecurity delle aziende sanitarie

Si riporta il riferimento all’articolo “La minaccia cibernetica al settore sanitario: l’analisi e le raccomandazioni dell’ACN”, al cui testo integrale si rinvia, per le aziende che operano nel settore sanitario, entità peraltro soggette alla Direttiva NIS2.

Interesserà il report “La minaccia cibernetica al settore sanitario“, pubblicato dall’ACN, contenente specifiche raccomandazioni per rafforzare la resilienza informatica del settore.

Il primo report dell’ENISA sul settore sanitario (2023) in Europa evidenzia la notevole vulnerabilità del settore, soprattutto per il rischio ransomware, che è la minaccia più frequente.

L’Azienda Unità Sanitaria Locale di Modena mette a disposizione il sito “Risposte alle domande più frequenti a seguito dell’attacco hacker“, che può risultare utile ad organizzazioni anche di tutt’altro settore.

La protezione dei supporti elettronici di storage

L’articolo “Gli standard della norma ISO/IEC 27040:2024 per la gestione dei supporti di archiviazione dei dati: un altro passo per migliorare i sistemiè relativo alla norma ISO/IEC 27040:2024 — “Tecnologia dell’informazione — Tecniche di sicurezza — Sicurezza dell’archiviazione”, aggiornata lo scorso gennaio 2024. Essa tratta dell’archiviazione dei dati, in quanto trattamento dei dati ed fase fondamentale del “ciclo di vita di un’informazione”.

Fornisce un supporto sia per requisiti, che come linee guida per l’uso ottimale delle tecnologie di archiviazione elettronica, compresi i backup, le applicazioni e le reti, la sicurezza fisica e la gestione dei dispositivi e dei supporti elettronici di archiviazione, e per il monitoraggio delle attività degli utenti e l’individuazione ed il trattamento dei rischi informatici associati, sempre dal punto di vista della disponibilità, integrità e confidenzialità degli stessi.

La norma fornisce le indicazioni  dettagliate (quindi immediatamente utilizzabili) relative alle seguenti misure di protezione:

– crittografia dei dati a riposo

– autenticazione e autorizzazione per gli accessi logici 

– meccanismi di rilevamento delle modifiche

– controllo dell’accesso fisico

– sicurezza ambientale

– cancellazione sicura dei dati (sanificazione dei supporti)

– protezione delle interfacce di storage.

La norma affronta anche l’argomento della resilienza dell’archiviazione digitale, in conformità con la ISO 22031 [Security and resilience — Business continuity management systems — Requirements].

L’adozione della ISO 27040 per chi è già certificato ISO 27001 in modo ben strutturato dovrebbe richiedere solo un’integrazione dei pertinenti documenti descrittivi già predisposti.

Attenzione ad un malware particolarmente insidioso

L’articolo “Attenzione a Voldemort, il malware che ruba dati sensibili per spiarvimette in guardia dal  malware Voldemort che ha l’obiettivo di raccogliere informazioni sensibili dai dispositivi elettronici delle vittime, non tanto per una estorsione immediata di denaro, quanto, sembra, più per stabilire una presenza illecita, e duratura nel tempo, all’interno di una rete aziendale, con scopi criminali più a lungo termine.

La catena di attacco comprende diverse tecniche, quali l’invio di email in cui il mittente impersona agenzie governative e spaccia come test il tentativo di recuperare file e password, oltre a metodi non comuni per il comando e il controllo come l’uso di Google Sheets. Viene usata una combinazione di tattiche, tecniche e procedure.

Tecnicamente Voldemort è una backdoor personalizzata con capacità di raccolta di informazioni e di rilascio di payload aggiuntivi. [Una backdoor (porta di servizio) è un programma con particolari caratteristiche che permette di accedere ad un dispositivo in remoto con privilegi di amministratore, senza che nessun altro utente se ne accorga. Il payload (carico utile) indica la parte effettiva di dati trasmessi, destinata all’utilizzatore, in contrasto con i metadati e con gli header che servono esclusivamente a far funzionare il protocollo di comunicazione]. I cybercriminali insidiano le potenziali vittime a seconda del loro paese di residenza, e non quello in cui opera l’azienda per cui lavorano, o in base alla nazione o lingua che potevano essere recuperati dall’indirizzo e-mail.

Sorvegliati come nel libro di fantapolitica di Orwell?

Secondo l’articolo “Il nostro smartphone ci ascolta davvero con la tecnologia dell’active listening“ c’è la seria possibilità che i nostri smartphone possano ascoltare le conversazioni ambientali. Lo scopo sarebbe di effettuare marketing mirato, sulla base delle parole che pronunciamo. L’impatto sulla privacy sarebbe però enorme.

L’autore dell’articolo consiglia di:

  1. disattivare l’ascolto continuo: la maggior parte degli smartphone permette di disabilitare l’ascolto passivo nelle impostazioni
    2. controllare le autorizzazioni e verificare quali app hanno accesso al microfono e limitare i permessi
    3. aggiornare il software: gli aggiornamenti spesso includono patch di sicurezza importanti

E’ da tener presente che la stessa capacità di ascolto ce l’hanno anche le smart TV ed altri dispositivi [come gli assistenti personali intelligenti, quale Alexa]

PUBBLICITA’ E PRIVACY

Quanti siti non sono in regola con i cookie!

informa che un’indagine condotta da “Global privacy enforcement network” sulla rete globale ha mostrato grosse carenze per i requisiti privacy dei cookie. Nel 97% dei casi è presente almeno una tipologia di design ingannevole: utilizzo di un linguaggio complesso e confuso nelle informative, inserimento di passaggi aggiuntivi e non necessari, introduzione di elementi di design per influenzare la percezione delle opzioni privacy, la richiesta di informazioni personali eccedenti per accedere a un servizio. Tutto ciò costituisce l’uso, vietato, di “dark pattern”.

Anche un indagine del Garante italiano ha rilevato impostazioni che, in qualche modo, spingono l’utente all’accettazione dei cookie a favore del titolare del trattamento. In un caso su tre, addirittura, c’è solo la possibilità di accettare tutti i cookie [o di uscire dal sito; ndr]. Anche per la cancellazione del proprio account, spesso il percorso è “accidentato”.

IN BREVE, DALL’ITALIA E DAL MONDO

Un supporto contro i contenuti illegali presenti in internet

L’articolo “In arrivo i segnalatori attendibili per denunciare e far rimuovere dal web contenuti illegali o dannosi, comprese le violazioni della privacy“ informa che, in conformità con il Regolamento UE sui servizi digitali n. 2022/2065 (Digital Services Act), l’Agcom (Autorità per le garanzie nelle comunicazioni) ha approvato un regolamento per l’istituzione dei “segnalatori attendibili”, cioè gli enti impegnati nella lotta contro contenuti illegali diffusi su Internet, potendo richiedere agli operatori del web di rimuovere dalla rete contenuti illegali o dannosi.

Una singola persona potrà inviare direttamente una segnalazione alla piattaforma on line oppure avvalersi di un segnalatore attendibile, che farà da intermediario nei confronti delle piattaforme on line.

Una convenzione europea per l’utilizzo etico dell’AI

L’articolo “Commissione UE, firmata la Convenzione su ‘Intelligenza Artificiale e i Diritti Umani, la Democrazia e lo Stato di diritto’” informa che lo scorso 5 settembre la Commissione UE ha firmato una Convenzione su “Intelligenza Artificiale e i Diritti Umani, la Democrazia e lo Stato di diritto” per l’adozione di regole condivise circa l’uso della Intelligenza Artificiale, con lo scopo di acquisire una sempre maggiore unità tra i membri dell’Unione Europea, basata sul rispetto dei diritti umani e di una visione condivisa di democrazia e di Stato di diritto.

La Convenzione deriva dalla consapevolezza delle conseguenze che lo sviluppo della scienza e della tecnologia e l’espansione dell’Intelligenza Artificiale possono avere per la prosperità del genere umano e dei singoli individui, rafforzando il progresso e l’innovazione e la partecipazione di tutti alla vita sociale e culturale e alle decisioni di rilievo economico e politico, ma anche del fatto che un cattivo uso della IA può avere effetti repressivi e limitativi sugli individui, limitandone il libero arbitrio o sottoponendoli a una sorveglianza illegittima e a pratiche di censura dei loro comportamenti che ne limitano autonomia e libertà.

La Commissione europea dovrebbe far migliorare il Decreto Trasparenza

Secondo l’articolo “Dalla Relazione della Commissione UE sul whistleblowing gli spunti per un possibile fine tuning della norma italiana”, c’è da attendersi una messa a punto del Dlgs 24/2023 (Decreto Trasparenza) che ha recepito la Direttiva UE 1937/2019, sperando così maggior chiarezza e [magari] semplificazione.

Se il DPO non svolge i suoi compiti, niente pagamento della parcella

L’articolo “Il DPO deve dimostrare le prestazioni effettuate, altrimenti non ha diritto ad essere pagato” informa che da una sentenza del tribunale civile di Prato è scaturito [qualora ce ne fosse bisogno] il principio che il Responsabile della Protezione dei Dati (o DPO) non ha diritto ad essere pagato se, nonostante l’assunzione di responsabilità derivante dall’incarico, non dimostra di aver svolto le prestazioni connesse con il suo ruolo.

Un risultato positivo per l’Italia, ma guai ad abbassare la guardia

L’articolo “Cybersicurezza, l’Italia è un paese modello per l’agenzia delle Nazioni Unite specializzata in ICT” informa che, nonostante la presenza di minacce persistenti, come i ransomware e gli attacchi informatici, che toccano industrie chiave causando anche interruzioni di servizi, e le violazioni della privacy, che riguardano individui e organizzazioni, il report Global Cybersecurity Index 2024, redatto dall’agenzia dell’ONU l’International Telecommunication Union, classifica l’Italia tra i 46 paesi, su oltre 190, con il più elevato livello di maturità per la cybersicurezza, dal punto di vista legale, tecnico, organizzativo, di sviluppo delle capacità e di cooperazione.

Il punteggio raggiunto è addirittura 100 su 100, per il quale devono aver inciso favorevolmente la presenza di un CSIRT nazionale, l’adozione di una strategia nazionale e la presenza di un’agenzia governativa specializzata (l’ACN), gli incentivi per lo sviluppo ed il miglioramento delle competenze e della consapevolezza.

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Clearview AI ha subìto una multa da oltre 30 milioni di euro per violazione del Gdpr con il riconoscimento facciale, per aver costituito un archivio illegale contenente “codici biometrici univoci” associati alle foto personali acquisite.
  • La piattaforma X ha accettato di interrompere definitivamente il trattamento di alcuni dati personali raccolti nell’UE per l’addestramento dell’intelligenza artificiale (AI), chiudendo così il procedimento giudiziario della Commissione irlandese per la protezione dei dati personali.
  • Un attacco hacker ha sottratto all’Università di Genova 18 gigabyte di materiale ed ha richiesto un riscatto per non rendere pubblici o rivendere a terzi i dati implicati.
  • l’Artificial Intelligence Act prevede sanzioni fino a 15 milioni di euro a carico di chi non assicura la trasparenza necessaria sul fatto che testi e contenuti sono elaborati non da fonte umana, ma da un apparato di intelligenza artificiale (IA).
  • Agenti porta a porta di Hera Comm S.p.A. (fornitore di energia) acquisivano nuovi contratti, a danno di ignari utenti, in modo truffaldino. La società è stata multata per 5 milioni di €. Il Garante ha imposto anche misure correttive. [Niente si dice in merito ad un possibile risarcimento delle vittime; ndr].
  • Sanzione di 200.000 € ad un ateneo italiano nel 2021 per l’uso improprio di sistemi di IA senza adeguati controlli sulla protezione dei dati personali (la cita l’articolo “La privacy nelle università: Intelligenza Artificiale e Big Data, tra responsabilità e opportunità“).
  • Sanzione da 800.000 euro per una società informatica francese del settore sanitario che non aveva anonimizzato i dati dei pazienti.
  • Il browser Firefox è stato accusato, dall’organizzazione noyb.ue [fondata dal famigerato avvocato Schrems], di tracciare gli utenti attraverso una funzione che dovrebbe viceversa proteggere la privacy. I cookie di tracciamento sono stati infatti sostituiti da una funzionalità per cui è lo stesso browser a controllare le visualizzazioni delle inserzioni pubblicitarie per poi trasmetterle agli inserzionisti in modo aggregato. Tale funzionalità è però attivata di default senza che alcun consenso sia richiesto agli interessati.

    ing. Michele Lopardo

    Responsabile Qualità @ Wondersys