Prosegue, con questa newsletter, la sintesi degli articoli di recente pubblicazione online, in particolare sul sito di Federprivacy, che potrebbero essere di vostro interesse in materia di protezione del dati personali.

E’ ben noto a questo punto che, con la sigla GDPR, che utilizzeremo nel seguito, ci si riferisce al Regolamento UE  2016/679 “General Data Protection Regulation”, in vigore ormai dal maggio 2018.

I link sotto riportati riferiscono agli articoli online originali, cui si può accedere per una più approfondita lettura.

 

Indice

  1. Lo sviluppo della robotica e gli aspetti legislativi che dovrebbero essere trattati
  2. Il Garante della comunità europea scoraggia il trasferimento di dati personali fuori della UE
  3. I dati aziendali hanno un valore che va protetto
  4. Un noto servizio di trasporti privati gestiti tramite app ha licenziato autisti sulla base di decisioni ritenute automatizzate
  5. Regolamento e-Privacy: ancora intoppi
  6. La pandemia rallenterà l’espansione della lista dei paesi considerati ‘adeguati’?
  7. Amministratore di sistema in era GDPR
  8. Dati personali e ‘Brexit’ prima e dopo il periodo transitorio
  9. La pandemia contagia anche la sicurezza informatica
  10. Corte di Giustizia Ue: la casella già preselezionata nel contratto per la raccolta del documento di identità non dimostra il consenso privacy dell’interessato
  11. Microsoft presenta un nuovo strumento che controlla a distanza i lavoratori: è bufera sulla privacy
  12. Manifesto per la stesura di una ‘Privacypedia’ sul Gdpr

 

Lo sviluppo della robotica e gli aspetti legislativi che dovrebbero essere trattati

La robotica ha avuto una crescita enorme e continua e svilupparsi riguardo alla tecnologia costruttiva, alla capacità di ragionamento autonomo, all’integrazione con l’ambiente in cui i robot devono operare. In particolare lo sviluppo dei sistemi informativi e dell’intelligenza artificiale hanno notevolmente incrementato la capacità di ragionamento; ciò consente l’esecuzione di azioni complesse in contesti in cui sono presenti contemporaneamente macchine ed esseri umani.

A fronte di ciò manca ancora un complesso normativo giuridico che regoli gli aspetti di natura sociale e individuale (basta pensare ai sistemi bionici umani, che vanno dalle protesi del corpo alle interfacce cervello-computer), nonché economica (per un mercato competitivo).

Un complesso normativo troppo vincolante, specie nell’attuale fase di sviluppo, potrebbe ostacolare il progresso scientifico e tecnologico in materia e limitarne i vantaggi. Tuttavia è pur necessario che i consumatori (utenti finali) siano protetti da possibili implicazioni per loro potenzialmente dannosi, incluso l’ambito della sicurezza e della privacy. Per quest’ultimo aspetto trova applicazione generale l’art. 25 del GDPR, che prevede la “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” e, in applicazione di questo principio, una legislazione più specifica dovrebbe disciplinare aspetti come l’intelligenza open source, il cloud storage e il cloud computing, con particolare riguardo alla sicurezza del sistema informatico contro potenziali attacchi esterni che possano compromettere sistema e comandi operativi.

 

Il Garante della comunità europea scoraggia il trasferimento di dati personali fuori della UE

Nel luglio 2020, con la cosiddetta “sentenza Schrems II”, la Corte costituzionale europea ha invalidato la decisione di adeguatezza al GDPR per i paesi aderenti all’US-EU Privacy Shield (complesso di impegni vincolanti al rispetto della protezione dei dati personali in linea con i principe del GDPR), ritenendo che la legislazione di paesi terzi, ed in particolare degli Stati Uniti, consenta comunque l’accesso ai dati da parte di organizzazione governative per ragioni di sicurezza, sanità o altri preponderanti interessi nazionali.

Il 29 ottobre 2020, Il Garante europeo della protezione dei dati (EDPS) ha pubblicato un documento strategico con l’obiettivo di monitorare la conformità delle istituzioni, degli organi e degli organismi europei (IUE) richiamando la responsabilità dei titolari del trattamento per la valutazione che gli standard di protezione dei dati siano effettivamente garantiti quando vengono effettuati trasferimenti verso paesi terzi.

Il Garante UE incoraggia pertanto le istituzioni, degli organi e degli organismi europei (IUE) ad evitare trasferimenti di dati personali verso gli Stati Uniti per nuove operazioni di trattamento o nuovi contratti con fornitori di servizi e suggerisce di verificare tutti i contratti di servizi tra titolare del trattamento e responsabile del trattamento e/o i contratti tra responsabile del trattamento e sub-responsabile che implichino trasferimenti di dati verso paesi terzi, in particolare gli Stati Uniti.

 

Si osserva tuttavia quanto segue.

In precedenza, a seguito della sentenza Schrems II, il Garante europeo aveva comunque indicato il permanere della validità delle EU Standard Contractual Clause (SCCs), se applicate tra cliente e fornitore del servizio, quale altro mezzo valido per attuare un trasferimento presso paesi terzi, ma in associazione alla verifica, da parte del titolare o del responsabile del trattamento, che le leggi di tali paesi non prevalgano sulle garanzie a protezione dei dati. Tuttavia un cliente difficilmente può effettuare tale verifica e non si vede come questa potrebbe risultare positiva in presenza di una legislazione come quella degli Stati Uniti.

Un’alternativa, quale base giuridica del trasferimento, è che il contratto stesso preveda nelle sue finalità che i dati siano archiviati e/o processati nel paese terzo. In mancanza anche di questa eventualità, qualora il fornitore non possa garantire il mantenimento dei dati entro i confini della comunità europea, non resta che il consenso esplicito ed informato del cliente al trasferimento, nella sua consapevolezza di non aver niente da temere nel caso in cui ai propri dati avessero accesso organismi governativi extra UE a scopo di controllo (cosa peraltro possibile anche all’interno della comunità europea sempre per ragioni di sicurezza nazionale o esigenze sanitarie quali il contenimento di epidemie).

Se i grossi provider di storage e computing su cloud (Google, AWS, Microsoft, …) potranno garantire che i dati loro affidati da clienti europei saranno contenuti e gestiti totalmente ed esclusivamente nell’ambito di data center situati nella UE e che qualsiasi pur legittimo controllo da remoto non potrà avvenire da parte di alcuna organizzazione residente fuori della UE, molti problemi saranno risolti e si potrà uscire da una situazione per certi versi ambigua e irta di difficoltà. Si dovrà comunque essere sempre coscienti che una email inviata a un indirizzo corrispondente ad un dominio gestito, per es. negli USA, costituirà sempre un trasferimento presso un paese terzo.

 

I dati aziendali hanno un valore che va protetto

L’articolo mette in guardia da facilonerie per cui un imprenditore potrebbe essere portato a pensare, superficialmente, di non aver particolari dati da proteggere.

All’atto pratico ci si dovrebbe chiedere:

 – quali sono i dati trattati dall’azienda?

 – dove risiedono?

 – chi ne ha accesso?

 – per quali finalità?

come è garantita la loro sicurezza (in termini di disponibilità, integrità e riservatezza)?

O in un unica domanda: quali conseguenze avrebbe l’azienda se improvvisamente i dati (personali o di know-how aziendale) non fossero più accessibili e/o se fossero divulgati all’esterno?

Non ha rilevanza se i dati sono conservati su dispositivi locali o su cloud, anzi nel momento attuale con tanto lavoro attuato in smart working il rischio di eventuali intrusioni si è accresciuto (i PC dei dipendenti sono sufficientemente protetti, e le connessioni?).

E’ necessario investire nella sicurezza informatica e nei processi di gestione dei dati, come prevenzione e come misure di intervento in caso di attacco o disastro. Per quanto la sicurezza assoluta non sia raggiungibile, i danni in cui si può statisticamente incorrere sono ben maggiori, in genere, di qualsiasi investimento.

 

Un noto servizio di trasporti privati gestiti tramite app ha licenziato autisti sulla base di decisioni ritenute automatizzate

Al di là della questione specifica, ancora controversa, il fatto da rilevare è che, a fronte del GDPR, non sono legittime le decisioni basate unicamente sul trattamento automatizzato dei dati (su un algoritmo codificato), quindi senza alcun coinvolgimento umano nel processo decisionale, che producano effetti giuridici, oppure incidano in modo significativo sulla persona dell’interessato. A meno che il trattamento sia necessario per concludere o eseguire un contratto, sia autorizzato dalla legge o da un regolamento, o abbia il consenso esplicito dell’interessato.

 

Regolamento e-Privacy: ancora intoppi

La tanto attesa Direttiva e-privacy sembrava ormai in dirittura di arrivo, a fronte della soluzione di compromesso concordata tra gli stati membri della UE, quando la Germania l’ha rimessa in discussione chiedendo, in pratica, la soppressione del meccanismo del “further processing”, ovvero la possibilità di trattare i dati dei clienti senza il rinnovato consenso degli stessi, ma tenendo conto di quello già dato in fase contrattuale: in caso di upgrade migliorativo del servizio i clienti dovranno dare nuovo consenso, cosa che sicuramente rallenterebbe le operazioni, penalizzando gli operatori telematici (in particolare le compagnie telefoniche, le piattaforme social e di chat). [sarebbero ampiamente coinvolti anche i provider di servizi su cloud, ndr]

Questa misura sarebbe in contrasto con le strategie generali della Commissione Europea, oltre che con quanto previsto per tutti gli altri settori regolamentati dal GDPR. Il commissario della Commissione Europea ha già espresso la propria contrarietà, peraltro opinione diffusa, alla proposta, ritenendo che il rispetto dei dati personali non debba essere un blocco all’avanzamento industriale, ciò che andrebbe a tutto vantaggio di colossi come gli USA e la Cina.

 

La pandemia rallenterà l’espansione della lista dei paesi considerati ‘adeguati’?

Il processo con cui la Commissione Europea assegna la propria “decisione di adeguatezza” a paesi extra europei che si dimostrano conformi al GDPR, già lento di per sé, sta subendo ulteriori ritardi in questo periodo di pandemia.

Diversi stati, come stati, come il Brasile e l’India si starebbero conformando ai requisiti della legge europea sul trattamento dei dati. Tuttavia, a livello generale, è sotto accusa o quanto meno sotto accurato esame il tracciamento, sia tramite app che tramite la raccolta di dati da parte delle attività commerciali come i ristoranti, alberghi ecc. La richiesta di adeguatezza da parte della Corea del Sud è al momento sotto revisione; infatti, il suo modello di contact tracing per il Covid19 risulta essere in contrasto con la normativa europea sulla privacy. [Di contro, articoli sull’emergenza sanitaria affermano che “la Corea del Sud è uno dei Paesi dove il controllo dell’epidemia ha avuto il più grande successo, senza mai essere arrivati a un lockdown totale”; ndr].

 

Amministratore di sistema in era GDPR

Una figura rilevante, nell’ambito della protezione dei dati personali, inquadrata da un Provvedimento dell’Autorità Garante del 27/11/2008, è l’Amministratore di Sistema. L’AdS riveste un ruolo chiave, poiché ha l’accesso potenziale ad ogni dato contenuto nel sistema aziendale e deve spesso gestire la sicurezza dei dati se non anche affrontare la cyber-security.

E’ fondamentale quindi che il titolare provveda alla sua nomina, con la diligenza richiesta dal principio di responsabilizzazione (accountability). Quando si rivolge la nomina dell’AdS a consulenti o aziende IT esterni, questa dovrebbe essere accompagnata da un contratto specifico e da una valutazione delle competenze del soggetto, cosa quest’ultima da applicarsi anche nel caso di nomina di un proprio dipendente, definendone esattamente i compiti.

L’articolo poi accenna a possibili, per quanto ovvi casi di comportamenti non corretti: nomina di una società senza riferirsi ad una persona specifica; utilizzo del solito account di amministratore da parte di più soggetti. E prosegue indicando possibili punti di controllo periodico dell’AdS, fra cui i seguenti:

 – gestione dei permessi, con particolare riferimento alla disattivazione rapida degli account riferibili a soggetti non più in forza all’azienda.

 – verifica/applicazione delle patch di sicurezza ai sistemi aziendali e ad eventuali soluzioni cloud.

 – verifica del corretto uso di sistemi informatici da parte del personale,

 – verifica periodica del funzionamento delle apparecchiature di backup e certificazione di avvenuti test di ripristino dati.

 – periodico controllo dei log generati dai sistemi in modo da evidenziare tempestivamente abusi ed incidenti informatici. Conseguente celerità nel riportare al titolare eventuali situazioni di rischio e, a maggior ragione, estrema rapidità nel riportare incidenti informatici.

Viene ricordato, infine, che spesso tali log sono richiesti in sede di ispezione o ad integrazione di attività investigativa a seguito di violazione dei dati.

 

Dati personali e ‘Brexit’ prima e dopo il periodo transitorio

 

Il Regno Unito è fuori dalla Comunità Europea dall’01/02/2020 e il 31/12/2020 scade anche il periodo di transizione che sino a tale data ha concesso delle deroghe quali quelle in materia di trattamento dei dati personali.

Per tutti i dati trasferiti in UK entro il periodo di transizione, il Regno Unito è tenuto a garantire una protezione “sostanzialmente equivalente” a quella assicurata nell’UE.

Per i dati trasferito oltre tale periodo, i titolari del trattamento dei dati personali dovranno stabilire, con i fornitori o partner situati nel Regno Unito, clausole contrattuali standard previste dalla Commissione Europea o ricorrere a norme vincolanti di impresa e accertare che il sistema giuridico britannico non conceda, alle autorità pubbliche, accessi ai dati trasferiti. L’UK verrà quindi a trovarsi nelle condizioni di qualsiasi paese terzo rispetto all’UE [come gli USA, con la necessità pratica, non volendo o potendo analizzare la legislazione britannica in merito, di acquisire i consensi espliciti, ed informati dei rischi, da parte degli interessati, a meno che le specifiche contrattuali che regolano il rapporto con loro non prevedano già espressamente e necessariamente il ricorso al trasferimento; ndr]

Il trasferimento diverrà invece automaticamente legale nel momento in cui la Commissione potrà emettere una “decisione di adeguatezza” nei confronti della Gran Bretagna, cosa che però sinora non è ancora avvenuta.

 

La pandemia contagia anche la sicurezza informatica

L’argomento è stato già trattato in precedenti articoli. Con questo ancora una volta si sottolinea che nel periodo di pandemia covid-19 gli attacchi alla rete si sono moltiplicati e sono stati derubati e truffati ospedali, aziende, pubbliche amministrazioni e cittadini comuni.

Facendo leva sull’interesse circa l’emergenza, c’è stato un aumento delle fake-news, sono state condotte campagne di phishing (richiesta di dati attraverso false email), e social engineering (tramite vari mezzi di comunicazione), anche in associazione a malware. Nella maggior parte si tratta di attacchi multipli, cioè strutturati per danneggiare rapidamente e in parallelo il maggior numero possibile di persone e organizzazioni.

Nell’ambito del phishing, il tema “covid-19” è risultato il più sfruttato. Cyber criminali hanno portato a segno attacchi di spionaggio governativo, militare e di intelligence. Ma si sono avute vittime anche nelle infrastrutture critiche, nella ricerca e nell’istruzione.

Un altro articolo conferma l’aumento dei furti di dati personali, costituiti prevalentemente da indirizzi email individuali o aziendali, password, username e i numeri di telefono, ma finanche numeri di carte di credito e IBAN. Questi dati, finiscono spesso nel dark web (siti accessibili dai malintenzionati, in modalità anonima, che trovano dati e applicazioni per perpetuare violazioni e truffe).

E’ da notare che l’Italia costituisce il sesto paese tra i più colpiti al mondo e precede paesi molto più grandi del nostro.

 

Corte di Giustizia Ue: la casella già preselezionata nel contratto per la raccolta del documento di identità non dimostra il consenso privacy dell’interessato

Un contratto di fornitura di servizi di telecomunicazione non può dimostrare che il cliente abbia implicitamente prestato il suo consenso alla conservazione dei dati personali della sua carta d’identità, se la casella della clausola per l’autorizzazione risulta già preselezionata, prima della sottoscrizione del contratto.

Questo è la conferma, qualora ce ne fosse ancora bisogno, che il consenso al trattamento dei dati degli interessati, deve essere espresso mediante un atto volontario, specifico ed informato, e senza che essi possano essere indotti a ritenere che, senza acconsentire, non sia possibile stipulare il contratto o inoltrare la richiesta. Ciò vale anche quando il consenso è richiesto tramite mezzi elettronici.

 

Microsoft presenta un nuovo strumento che controlla a distanza i lavoratori: è bufera sulla privacy

Microsoft ha annunciato un nuovo strumento, denominato Productivity Score, che mostra ai datori di lavoro fino a 73 tipi di dati relativi a come i propri dipendenti utilizzano i servizi di Microsoft 365 come Outlook, Teams, SharePoint e OneDrive, quale dispositivo utilizzino e persino il numero di volte in cui si è inviata una mail con un dato oggetto.

Microsoft afferma che questo strumento fornisce informazioni che trasformano il modo in cui viene svolto il lavoro, fornendo ai dipendenti grande collaborazione ed esperienze tecnologiche.

Ben diversa è l’opinione dei difensori della privacy, secondo i quali il Productivity Score è un chiaro strumento di controllo dei lavoratori, attività che ha registrato un aumento durante la pandemia. E questo, nonostante che i dati del singolo dipendente vengano mantenuti solo per 28 giorni, quelli aggregati per 180, e che il datore di lavoro possa modificare manualmente le impostazioni in modo da rendere anonimi i dati degli utenti o rinunciare a utilizzare i dati dei soggetti.

In ogni caso, il tool “Productivity Score”, non assegna punteggi di produttività individuale, ma solo aziendale sommando i punti “esperienza delle persone” (frequenza d’uso dei prodotti Microsoft 365) e punti “esperienza tecnologica“ (valutazione delle prestazioni di avvio del dispositivo, integrità delle app e connettività di rete).

 

Manifesto per la stesura di una ‘Privacypedia’ sul Gdpr

L’autore dell’articolo afferma testualmente:

“Il Gdpr è un regolamento che impone tanta documentazione delle scelte adottate (cioè tanta burocrazia) e delle misure eseguite, ma è pieno zeppo di formule generali. Inoltre, ogni singola disposizione è abbinata a una sanzione. Come ti muovi c’è una sanzione possibile. E questo a fronte di precetti vaghi e indeterminati.”

e ancora:

“Tutti devono poter sapere cosa significa, ad esempio, “correttezza” dei trattamenti oppure “larga scala” oppure, ancora, “rischio elevato” e così via.Tutti lo devono sapere con casistica concreta, non con parafrasi piene di sinonimi inutili, perché generali e vaghi come il testo originario.”

Si sente quindi l’esigenza di un repertorio europeo, che possa aiutare in modo concreto ad applicare il  principio dell’accountability, in tutte le lingue dei paesi in cui si applica il GDPR. [basta che l’auspicata realizzazione, in un database indicizzato, di un catalogo delle pronunce e dei provvedimenti ingiuntivi e sanzionatori, delle linee guida e dei codici di condotta e degli atti di rilevanza generale possa essere effettivamente uno strumento di pronto utilizzo e non un’altra mole di informazioni in cui perdersi, quando la tutela dei dati personali è un requisito, non lo scopo, di un’attività industriale o commerciale; ndr]

 

ing. Michele Lopardo

Responsabile Qualità @ Wondersys