Fintech: diritti, concorrenza e regole

Oggi voglio suggerirvi la lettura del libro “Fintech: diritti, concorrenza e regole”, edito da Zanichelli, che ho appena finito di leggere.

L’opera, scritta a più mani e diretta dalla Professoressa Giusella Finocchiaro, insieme all’Avv. Valeria Falce, si occupa dei molteplici profili, normativi e non, coinvolti nello sviluppo tecnologico in ambito finanziario: Fintech e Techfin.

Benchè non sia sempre agevole stabilire quali siano gli esatti confini del fenomeno Fintech, gli Autori, tutti autorevoli, dei 24 capitoli in cui si suddivide il libro, analizzano il fenomeno non solo sotto il profilo normativo, ma anche in relazione alle sue ricadute di disruptive innovation nei confronti del mercato, della concorrenza, delle attività di vigilanza, della dimensione – europea e globale – del fenomeno, tenendo sempre presente, nella narrazione, i rischi per i diritti di chi dovrebbe trarre vantaggio dall’innovazione tecnologica in campo finanziario, cioè noi singoli individui.

Gli argomenti trattati sono davvero moltissimi:

  • le prospettive Fintech nel mercato assicurativo e creditizio;
  • le politiche di vigilanza su initial coin offerings (ICO) e investment crowdfinding;
  • gli stretti collegamenti tra Fintech, dati personali, profilazione e diritto di accesso alla tecnologia;
  • le piattaforme digitali e la loro regolamentazione;
  • le sandbox regolatorie e di settore;
  • gli standard tecnici e tecnologici a confronto con le norme sulla concorrenza;
  • il fenomeno open banking;
  • le possibili integrazioni tra le banche tradizionali e le nuove realtà Fintech;
  • la nuova direttiva sui pagamenti (PSD2) e la privacy del consumatore;
  • quali sfide comporta Fintech sul diritto antitrust;
  • i rischi connessi all’esternalizzazione dei servizi, sia in ambito finanziario sia in ambito assicurativo;
  • i rischi e i problemi (in parte irrisolti) della regolamentazione antitrust in relazione all’uso degli algoritmi di monitoraggio e di esecuzione di un’intesa e di quelli di segnalamento;
  • la disintermediazione finanziaria in ambito agricolo;
  • l’equity crowdfinding;
  • blockchain e criptovalute;
  • i mezzi di tutela approntati nei singoli Stati Membri a tutela del consumatore (private e public enforcement);
  • finanza, Big Data e intelligenza artificiale;
  • i confini di Fintech e Techfin, tra smart contract e blockchain. Rischi e benefici di questi strumenti;
  • come conciliare Big Data e privacy;
  • peer to peer landing (piattaforme P2P) e innovazione finanziaria nell’ambito dei prestiti;
  • robo-advisor e consulenza finanziaria;
  • identità digitale e biometria, al servizio degli strumenti di pagamento;
  • i profili penali nell’ambito delle valute virtuali.

Pur non essendo un esperto del mondo Fintech, ho trovato questo libro – interessante, naturalmente – ma soprattutto molto chiaro nella spiegazione di sistemi, fenomeni e meccanismi che sono, per i non addetti, tutt’altro che intuitivi.

Personalmente, ho trovato molto intrigante, forse perché non conoscevo affatto la problematica, il capitolo dedicato alle ricadute sulla normativa antitrust dell’uso degli algoritmi tipicamente utilizzati nel mercato finanziario.

Anche la bibliografia, molto ricca, è un altro punto a favore del libro, consentendo a chi lo desidera di approfondire i singoli argomenti in modo soddisfacente.

Grazie di cuore al mio “pusher di fiducia”, che mi ha segnalato il libro, facendomene recapitare in studio una copia non appena pubblicato!

Pubblicato in Digital life, Recensioni, Tecnologia per il business | Contrassegnato , | Lascia un commento

Nuovo stop per il Regolamento E-privacy

Il Regolamento E-privacy, di cui si era da più parti annunciata l’imminente approvazione, ha accusato una nuova battuta d’arresto.

Sono quasi due anni che la UE dibatte sul testo di questo importantissimo tassello a completamento del GDPR, senza trovare una soluzione condivisa.

E’ di poche ore fa (3 dicembre 2019) la dichiarazione – ripresa dall’ANSA – del Commissario UE per il mercato interno, Thierry Breton, che commenta il nuovo stop al testo del Regolamento E-privacy: “Tra i Paesi Ue ci sono più divergenze del previsto sul nuovo regolamento sulla e-privacy. E visto che questa situazione di stallo dura ormai da tre anni tutte le opzioni sono sul tavolo”. 

Nel frattempo, servizi come Whatsapp, Skype e Messanger restano ancora senza una regolamentazione.

L’ANSA riferisce che le divergenze tra gli Stati membri che hanno nuovamente bloccato il varo del Regolamento E-privacy sarebbero molteplici: dal trattamento della pornografia, agli abusi sui minori, al controllo dei cookies, al divieto di messaggi spam inviati senza il consenso degli utenti via email o SMS.

Il Regolamento E-privacy è finalizzato ad aggiornare la disciplina delle comunicazioni elettroniche e del trattamento dei dati e, nelle intenzioni, avrebbe dovuto essere approvato contestualmente al GDPR, dato che i due Regolamenti svolgono compiti complementari.

Il GDPR tutela, come sappiamo, i dati personali, mentre il Regolamento E-privacy è pensato specificamente per la tutela dell’utente nell’ambito delle attività digitali: metadati, informazioni scambiate con gli strumenti di comunicazione elettronica quali email e chat, profilazione on-line attraverso i cookies, etc..

Se pensiamo che la Direttiva attualmente in vigore che disciplina la materia risale al 2002, quando ancora non esisteva l’iPhone e neppure si conosceva Facebook, si comprende come sia urgente che l’Europa si doti di norme aggiornate in materia.

In questo limbo, che dura da troppo tempo, vincono solo i più forti, i più aggressivi e i più spregiudicati, a scapito di tutti noi.

Pubblicato in Digital life, Ecommerce, Privacy, Strumenti per il business | Contrassegnato , , , | Lascia un commento

Cookies in Spagna

Anche l‘AEPD – l’Autority spagnola in materia di protezione dei dati – si è cimentata nella pubblicazione, negli scorsi giorni di novembre, della propria Guida per l’uso dei cookies (trovate il testo integrale della Guida nella sezione “Documenti utili” del Blog, al n. 45 della lista).

Avevo già affrontato, di recente, il tema dei cookies, in occasione della pubblicazione della Guida dell’ICO e del recente pronunciamento della Corte di Giustizia dell’Unione Europea, nell’articolo “I cookies secondo l’ICO“.

Evidentemente, l’avvicinarsi dell’approvazione del Regolamento e-privacy ha stimolato più di un’Autorità nazionale ad affrontare un tema noto al grande pubblico soprattutto per via degli “odiosi” banner di apertura di quasi tutte le home page di siti europei, ma che riveste un ruolo assai rilevante per chi si occupa (e vive) di advertising digitale.

La Guida dell’AEPD si suddivide in quattro parti.

Nella prima sezione, l’AEPD spiega la terminologia e le definizioni più comuni legate al mondo dei cookies, illustrandone le varie tipologie e funzioni: propri o di terzi; tecnici, di personalizzazione, analitici e di misurazione, di pubblicità comportamentale; di sessione e persistenti.

Nella seconda sezione, vengono illustrati gli obblighi connessi all’utilizzo dei cookies, con particolare riferimento al requisito di trasparenza ed alle corrette modalità di raccolta dei consensi dell’utente.

Per quanto riguarda il principio di trasparenza, l’AEPD ricorda che l’utente deve essere messo in condizione di comprendere facilmente l’uso e la finalità dei cookies che incontra vistando un sito web. Molto utili e pratici sono, poi, a mio avviso, i modelli di definizioni sui tipi di cookies impostati dall’AEPD (pagine 15-17 e 20-21 della Guida), che possono essere usati dai gestori/proprietari dei siti per offrire agli utenti chiare indicazioni su cosa sono e quali finalità hanno i diversi tipi di cookies e come gli interessati possono esercitare i loro diritti al riguardo.

Per quanto riguarda, invece, la raccolta dei consensi, l’AEPD non aggiunge nulla di nuovo ai principi già noti ed espressi in plurime occasioni da numerose fonti.

L’Autority spagnola precisa, in particolare, che:

  • il consenso dell’utente può essere raccolto mediante dichiarazioni espresse, con un clic su casella “accetto” o “acconsento” o con qualsiasi altra inequivoca azione positiva dell’utente; mai con la semplice inazione di quest’ultimo;
  • l’utente ha sempre diritto di rifiutare il consenso ai cookies di profilazione o di ritirarlo, dopo averlo prestato, in modo semplice;
  • il consenso all’utilizzo dei cookies deve, inoltre, sempre essere richiesto in modo separato rispetto ad altre finalità (quale, ad esempio, l’accettazione dei termini e delle condizioni d’uso del sito o dei servizi proposti);
  • il consenso dell’utente deve sempre precedere l’utilizzo del servizio al quale sono collegati i cookies;
  • per quanto riguarda, poi, il consenso dei minori di anni 14, l’AEPD ricorda che il rischio di raccogliere il consenso di soggetti minori senza l’autorizzazione di chi esercita su di loro la potestà deve essere minimizzato tenendo conto del tipo di servizio offerto ed attraverso appositi avvisi di richiamo circa la necessità del consenso di un adulto. Anche in questo caso, l’AEPD suggerisce alcuni esempi pratici di avvisi (pagina 27 della Guida) utilizzabili in base al rischio di profilazione insito nei cookies utilizzati dal sito o servizio web.

La terza sezione della Guida è, invece, dedicata alle responsabilità legate all’utilizzo di cookies di terze parti. L’AEPD pone particolare enfasi al requisito dell’informazione puntuale e completa degli interessati in ordine alle modalità di gestione di questa specifica tipologia di cookies, soprattutto in riferimento all’accettazione o al rifiuto del consenso, dato che i Titolari del trattamento sono responsabili in solido con i proprietari dei cookies di terze parti in caso di raccolta e utilizzo delle informazioni ricevute dall’utente in modo non corretto.

L’allegato finale della Guida è, infine, dedicato al programmatic advertising

In quest’ultima parte l’Autorità spagnola illustra – attraverso un chiaro grafico iniziale, seguito da altrettante precise descrizioni di ciascun ruolo – tutti i soggetti che intervengono in questo tipo di advertising, soffermandosi anche sui principali strumenti utilizzati, quali:

  • demand side platform (DSP),
  • consent management platform (CMP)
  • supply side platform (SSP)
  • data management platform.

In ultima analisi, la Guida dell’AEPD appare completa e con un taglio destinato ad un utilizzo pratico immediato, di sicura utilità per gli operatori.

Lascia, tuttavia, perplessi che la Guida non faccia alcun riferimento alla recente sentenza della Corte di Giustizia dell’Unione Europea del 29 luglio 2019 e che trascuri completamente i precedenti contributi delle Autority che si sono già espresse sul tema, quasi ignorasse di operare in un contesto sovranazionale e benché si sia, oltretutto, in attesa dell’approvazione del Regolamento e-privacy che dovrebbe disciplinare uniformemente la materia in tutta l’Unione.

Un indice di scarso coordinamento tra le Autorità nazionali che non fa ben sperare in vista dell’applicazione dei meccanismi di cooperazione tra le Autorità di controllo previsti dall’articolo 60 e seguenti del GDPR.

Pubblicato in Digital life, Ecommerce, Privacy | Contrassegnato , , , , , | Lascia un commento

GDPR e PSD2

La Direttiva Europea sui sistemi di pagamento, nota con l’acronimo PSD2 (Payment Service Directive 2) – a cui l’Italia ha dato attuazione con il D.lgs. 15 dicembre 2017, n. 218 – è notoriamente connessa al Fintech, all’interno del quale si annoverano tutti quei sistemi di fornitura di prodotti e servizi finanziari innovativi che utilizzano gli strumenti messi a disposizione dalle più avanzate tecnologie dell’informazione (i cosiddetti “strumenti ICT”).

Sappiamo che uno dei tratti peculiari della PSD2 è costituito dalla regolamentazione dei cosiddetti Third Party Providers (di solito abbreviati in “TPP”), cioè di quei soggetti che offrono servizi di pagamento ai consumatori, interponendosi nel rapporto tra questi ultimi e la banca titolare del rapporto di conto corrente.

Nel concreto, i TPP, tramite disposizioni dirette alla banca del cliente, bypassano la catena tradizionale dei circuiti delle carte di credito, creando un link diretto tra pagatore e beneficiario.

Si tratta del meccanismo utilizzato, ad esempio, da Paypal ed al quale stanno tendendo anche Amazon, Apple, Google e Facebook (i cosiddetti Over The Top o OTT) che, in quanto in possesso di un enorme quantità di dati su ciascuno di noi, anelano di offrirci servizi finanziari personalizzati, basati sulle nostre abitudini di consumo (che loro conoscono, di solito, molto bene).

Le capacità di analisi dei Big Data da parte degli OTT sono note e l’opportunità di applicarle ai servizi di pagamento viene generalmente considerata un’importante innovazione per il settore finanziario.

Nel contempo, però, le implicazioni di questa apertura preoccupa moltissimo le banche ed anche le Autority che presiedono ai mercati di riferimento perché, come ha recentemente messo in guardia la Consob, gli Over The Top dispongono di dati e di informazioni che, “opportunamente aggregati ed elaborati, possono consentire di ricavare preziose informazioni su abitudini di spesa, propensione al risparmio e, in senso più ampio, sul profilo finanziario di un utente tramite i conti di pagamento“.

Se, pertanto, l’open baking – cioè il meccanismo che garantisce ai TPP di aver accesso diretto al conto del cliente presso un operatore bancario e di dare a quest’ultimo disposizioni di pagamento per conto del cliente – è uno degli scopi dichiarati della PSD2, i rischi di cui ho fatto cenno sopra portano a concludere che sia di estrema rilevanza tutelare i dati del consumatore che vengono condivisi all’interno dell’ecosistema bancario tra più attori.

In base alle regole della PSD2, le banche dovranno, infatti, fornire ai TPP una serie di dati dei loro clienti per consentire l’erogazione dei rispettivi servizi finanziari.

Il trattamento di questi dati ricade inevitabilmente nel perimetro di applicazione del GDPR, ma l’attenta analisi delle due normative (PSD2 e GDPR) ha già messo in evidenza una serie di disallineamenti di disciplina che, nella pratica applicativa, determineranno complesse situazioni “borderline“, di difficile risoluzione.

In tema di consenso dell’interessato, ad esempio, sappiamo che il GDPR impone che sia rilasciato in modo a) preventivo e b) inequivocabile; l’art. 94 della PSD2 prevede, però, che i TPP possano avere accesso ai dati del cliente solo previo ottenimento di un consenso esplicito dell’utente per tali servizi di pagamento.

Di fatto, quindi, l’effetto combinato del GDPR e della PSD2 eleva i requisiti per il consenso connesso ai servizi finanziari al rango più elevato previsto dal GDPR solo per il trattamento dei dati particolari di cui all’art. 9, imponendo uno standard di protezione del consumatore rafforzato rispetto a quanto prevede il GDPR.

Gli operatori dovranno, quindi, prestare molta attenzione all’esistenza dei requisiti sufficienti e necessari, in tema di consenso, per la legittima erogazione dei servizi finanziari richiesti dall’utente e basati sull’applicazione della PSD2.

Un altro punto di incontro/scontro tra le due normative si potrà probabilmente verificare nell’ambito dell’esercizio del diritto alla portabilità dei dati di cui all’art. 20 del GDPR.

Per la PSD2, infatti, il diritto alla portabilità dei dati – che permette all’utente di trasferire direttamente i propri dati personali da un Titolare del trattamento ad un altro – è un principio cardine per consentire il flusso di informazioni dalla banca ai TPP.

Ciò significa, in concreto, che l’interessato, esercitando il diritto sancito dall’art. 20 del GDPR, potrà pretendere dalla banca il trasferimento diretto delle sue informazioni di cliente ad un altro Titolare del trattamento (il TPP, appunto).

E’ evidente, però, che questo diritto potrà, in concreto, essere applicato solo se:

  1. vi sia uniformità nella mappatura dei dati e dei flussi di dati che vengono trattati dai Titolari del trattamento;
  2. sia garantito un controllo efficace in ordine a quali dati debbano essere effettivamente trasferiti, perché il rischio di divulgazione di informazioni e notizie ulteriori a quelle strettamente necessarie è, per la natura delle operazioni oggetto di trattamento, è piuttosto elevato.

Non vi è, comunque, dubbio che, nell’ambito dei servizi finanziari innovativi che trovano fonte e legittimazione nella PSD2, si verificherà un’interessantissimo e vivace dibattito interpretativo con riferimento ai punti di contatto con le norme del GDPR.

Di ciò è consapevole anche il nostro Garante per la Protezione dei Dati Personali che, infatti, ha di recente, ha approvato il nuovo “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” che prevede, tra le altre cose:

  • maggiori tutele per i consumatori censiti nelle banche dati del credito;
  • più trasparenza sul funzionamento degli algoritmi che analizzano il rischio nei finanziamenti;
  • l’apertura alle nuove tecnologie e ai servizi del Fintech.

Nel futuro non ci sarà, pertanto, il rischio di annoiarsi!

Pubblicato in Digital life, Privacy | Contrassegnato , , | Lascia un commento

Titolare, Responsabile e Contitolare secondo l’EDPS

L’EDPS – il Garante Europeo della Protezione dei Dati – ha da pochi giorni pubblicato delle utili Linee Guida sui concetti di Titolare, Responsabile e Contitolare del trattamento.

Sappiamo ormai tutti che il Titolare del trattamento è colui che stabilisce le modalità di trattamento e sul quale grava l’onere di mettere in atto tutte le misure, tecniche ed organizzative, adeguate a garantire che i suddetti trattamenti siano conformi al alla normativa europea.

Sappiamo, altresì, che il  Responsabile del trattamento è la persona fisica o giuridica che tratta i dati per conto del Titolare, cioè un soggetto terzo al quale il Titolare ricorre per lo svolgimento di trattamenti fatti per suo conto ed in suo nome.

Ed è altrettanto noto che il rapporto tra Titolare e Responsabile deve essere regolato da un contratto che vincoli il Responsabile al Titolare, nel quale dovranno essere precisate, tra le altre cose, durata e contenuto dei trattamenti che gli sono affidati, la loro natura e finalità, il tipo di dati e le categorie di interessati, gli obblighi e i diritti del titolare.

Come afferma il Prof. Pizzetti nel libro “Intelligenza Artificiale, Protezione dei dati personali e regolazione”, “anche il Responsabile del trattamento, sia pure come comprimario, si muove all’interno del medesimo scenario del titolare: un sistema di regole di protezione dei dati personali, per un verso robustamente definito e per l’altro flessibile, la cui applicazione deve basarsi su una lettura e una attuazione capaci di accompagnare anche le evoluzioni tecnologiche, man mano che si sviluppano”.

Infine, vi è la figura del Contitolare del trattamento, introdotta dal GDPR, che prevede la possibilità che uno stesso trattamento possa essere posto in essere da due o più soggetti, che ne determinano congiuntamente le finalità, le modalità e i mezzi per svolgerlo.

Sappiamo, però, che in questo scenario astrattamente perfetto, alcune dinamiche organizzative moderne assumono caratteristiche difficili da incasellare nettamente nell’una piuttosto che nell’altra figura, lasciando, alcune volte, l’interprete nel dubbio su quale sia il corretto ruolo rivestito da certi soggetti.

Con le Linee Guida del 7 novembre 2019 (le trovate al n. 44 dell’elenco della sezione “documenti utili” del Blog) l’EDPS ha descritto quali debbano essere le caratteristiche specifiche che contraddistinguono i ruoli di Titolare, Responsabile e Contitolare nell’ambito del Regolamento UE 2018/1725 sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione Europea e sulla libera circolazione di tali dati (che ha abrogato il Regolamento CE n. 45/2001 e la decisione n. 1247/2002/CE).

Nelle proprie Linee Guida l’EDPS si occupa, in particolare, di:

  1. chiarire i concetti di Titolare, di Responsabile e di Contitolarità:
  2. di spiegare come sono distribuiti gli obblighi e le responsabilità tra tali soggetti;
  3. di illustrare alcuni case studies (individuabili facilmente nel testo all’interno di riquadri colorati) con riferimento ai rapporti tra Titolari e Responsabili, tra Titolari indipendenti tra loro e tra Contitolari.

Interessanti e utili mi sembrano, inoltre, le checklist in fondo ai capitoli dedicati, rispettivamente, al ruolo di Titolare (pag. 13) e a quello di Responsabile del trattamento (pag. 20), composti da una serie di domande con risposta “YES/NO”, che semplificano molto l’attività dell’interprete.

Altrettanto utili mi sembrano, poi, gli allegati alle Linee guida dedicati a:

  • Annex 1: diagramma di flusso da consultare per stabilire quando si è in presenza di un Titolare, di un Responsabile o di un Contitolare;
  • Annex 2: elenco dei doveri del Titolare del trattamento;
  • Annex 3: elenco dei doveri del Responsabile del trattamento.

Benchè le linee guida dell’EDPS si riferiscano, in particolare, al Regolamento 2018/1725 sul trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione Europea, è indubbia l’utilità interpretativa e pratica di queste linee guida anche nel più ampio panorama che coinvolge il Regolamento UE 2018/679 e, pertanto, l’opportunità di averle a portata di mano in caso di dubbi pratici.

Pubblicato in Privacy, Strumenti per il business | Contrassegnato , , , | Lascia un commento

DPIA: quando e come deve essere condotta

La procedura di valutazione di impatto sulla protezione dei dati (o, all’inglese, DPIA) è disciplinata dall’art. 35 del GDPR, che ne prevede lo svolgimento obbligatorio da parte del Titolare del trattamento in questi casi:

  1. quando il Titolare del trattamento svolge una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su di un trattamento automatizzato, compresa la profilazione, sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente sulle persone fisiche;
  2. quando il Titolare svolge trattamenti su larga scala di categorie particolari di dati o di dati relativi a condanne penali e/o a reati;
  3. quando il Titolare attua una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

L’EDPB (allora WP29), nelle proprie linee guida del 4 ottobre 2017 – che trovate nella sezione “Documenti utili” del Blog, al n. 5 dell’elenco, cliccando qui – ha individuato, al riguardo, nove criteri, precisando che, quando un trattamento coinvolge due o più di tali criteri, il Titolare del trattamento deve attentamente valutare la situazione perché è assai probabile che il trattamento richieda lo svolgimento di un’apposita DPIA.

Inoltre, nell’ottobre del 2018, l’EDPB ha pubblicato un elenco, ripreso anche dal nostro Garante per la Protezione dei Dati Personali, contenente le tipologie di trattamenti da sottoporre senz’altro a valutazione di impatto ed alla cui lettura vi rimando (trovate anche questo documento nella sezione “Documenti utili” del Blog, al n. 31 dell’elenco, cliccando qui).

Ricordo, inoltre, brevemente che, per valutare se si è in presenza di un trattamento su larga scala, occorre fare riferimento:

  • al numero di soggetti interessati in termini assoluti o espressi in percentuale sulla popolazione di riferimento;
  • al volume di dati e/o alle diverse tipologie di dati oggetto di trattamento;
  • alla portata geografica dell’attività di trattamento.

In linea di massima si può, comunque, ritenere che il Titolare del trattamento dovrà ricorrere alla procedura di DPIA ogniqualvolta un trattamento è potenzialmente suscettibile di determinare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizi alla reputazione, decifratura non autorizzata e, più in generale, lesioni ai diritti di libertà d’espressione, libertà di pensiero, di coscienza, di religione, di movimento, etc..

La valutazione di impatto deve essere condotta dal Titolare prima di procedere al trattamento e deve coinvolgere anche il Data Protection Officer, nel caso sia stato nominato, che vigila sullo svolgimento del processo di valutazione e al quale, normalmente, verrà richiesto un parere, che resterà allegato alla documentazione rilevante della DPIA svolta.

Il Titolare dovrà, in particolare, confrontarsi con il proprio DPO perlomeno sui seguenti aspetti:

  • necessità della valutazione di impatto;
  • metodologia;
  • individuazione del soggetto incaricato della valutazione di impatto;
  • misure tecniche ed organizzative per ridurre i rischi del trattamento;
  • valutazione sulle modalità di conduzione della DPIA.

Il GDPR richiede, inoltre, al Titolare del trattamento di coinvolgere nel processo di valutazione del rischio anche:
gli interessati, chiedendo la loro opinione (con questionari o altri strumenti ritenuti adeguati) o coinvolgendo i rappresentanti di categoria. Se gli interessati non vengono coinvolti, il Titolare dovrà esplicitarne le ragioni (ad esempio, perché si tratterebbe di un’attività sproporzionata o non praticabile o non opportuna in relazione alle informazioni da divulgare, etc.);
tutte le persone dell’organizzazione competenti su aspetti che coinvolgono lo specifico trattamento: ad esempio, responsabili della sicurezza dei sistemi di informazione, soggetti che assumono decisioni strategiche in quel particolare trattamento, etc.;
eventuali consulenti esterni indipendenti, quali Avvocati, Ingegneri, esperti di cyber security, che abbiano voce in capitolo sullo specifico trattamento.

Ma come si esegue una DPIA?

Secondo l’art. 35 del GDPR, la valutazione di impatto deve contenere almeno questi elementi:

  1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso l’eventuale interesse legittimo del Titolare: questi elementi devono essere descritti in modo completo, coerente, chiaro e non generico;
  2. una valutazione della necessità e proporzionalità dei trattamenti, con riferimento alla finalità dichiarata sopra. Sotto questo profilo, il Titolare deve a) indicare esplicitamente per quali ragioni ciascuno dei trattamenti analizzati è necessario al perseguimento delle finalità che intende conseguire e b) i motivi in base ai quali si ritengono inidonee, rispetto agli scopi perseguiti, altre misure meno invasive dei diritti degli interessati; c) dovrà, inoltre, essere esaminata l’efficacia del trattamento in relazione allo scopo perseguito;
  3. la valutazione dei rischi per i diritti e le libertà degli interessati, considerata la natura, l’oggetto, il contesto e la finalità del trattamento. Per rischio si deve, in particolare, intendere uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità;
  4. le misure previste per affrontare i rischi e, in particolare, le garanzie, le misure di sicurezza, i meccanismi per garantire la protezione dei dati degli interessati e dimostrare la conformità del trattamento, anche tenuto conto degli interessi legittimi degli interessati e delle altre persone coinvolte nel trattamento. Per “gestione del rischio” va inteso, in particolare, l’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione al predetto rischio.

In base all’ultimo comma dell’art. 35 GDPR, occorre che la procedura di DPIA sia sottoposta a riesame almeno quando “insorgono variazioni del rischio rappresentato dalle attività relative al trattamento”. Quindi, non esiste, a differenza di quanto a volte si legge, una periodicità predefinita per il riesame della valutazione di impatto.

Da quanto si è sopra descritto, si evince che la DPIA è un processo strutturato in due fasi: la prima, consistente nella stima del rischio del trattamento, con riferimento alla sua probabilità e gravità; la seconda, costituita dalla fase di decisione delle misure da adottare per gestire, attenuandolo o eliminandolo, il rischio precedentemente individuato.

Nella fase di individuazione delle migliori modalità di gestione del rischio dovrà essere tenuto in considerazione il rischio insito nel trattamento ed il rischio residuale: il primo si riferisce alla probabilità che si producano conseguenze negative se non vengono adottate misure di protezione adeguate; il secondo conduce a definire se si può adottare il trattamento senza dover preventivamente ricorrere alla consultazione dell’Autorità, come previsto dall’art. 36 del GDPR.

Per quanto riguarda la metodologia da utilizzare per condurre la DPIA, il GDPR lascia ampia libertà di scelta al Titolare del trattamento, il quale dovrà, comunque, esplicitare nel documento di valutazione quale metodologia ha seguito per svolgere la valutazione di impatto e le motivazioni che lo hanno indotto a tale scelta.

Ricordo, sul punto, che la CNIL ha elaborato un software per le PMI, richiamato anche dal nostro Garante nella versione italiana, che potete trovare sul sito dell’Autorità francese.

Nel mese di settembre 2019 anche l’Autorità irlandese ha pubblicato una propria guida alla DPIA , che ho appena aggiunto, per la vostra consultazione, nella sezione “Documenti utili” del Blog, al n. 42 dell’elenco.

Non posso, infine, concludere questo intervento senza ricordare che il GDPR sanziona l’omesso svolgimento della DPIA, laddove ritenuto obbligatorio e necessario, con la sanzione amministrativa pecuniaria fino ad un massimo di Euro 10 milioni o, se il Titolare è un’impresa, fino al 2% del fatturato mondiale annuo dell’esercizio finanziario precedente, qualora esso sia superiore.

Un incentivo sufficiente, ritengo, per non lesinare con lo strumento della DPIA, soprattutto in tutti i casi dubbi!

Pubblicato in Digital life, Privacy, Strumenti per il business | Contrassegnato , , , | Lascia un commento

Il valore delle policy aziendali

Questa settimana, su cybersecurity360, mi soffermo sull’importanza delle policy aziendali per la protezione dell’impresa e dei diritti dei lavoratori.

Tramite le policy aziendali le imprese, oltre a specificare le corrette modalità di esecuzione delle attività, possono fornire indicazioni tecnico-organizzative per l’uso degli strumenti ICT prevenendo, così, i rischi connessi a comportamenti pericolosi con riferimento al profilo della cyber security aziendale e, nel contempo, tutelare i diritti del personale alle sue dipendenze, evitando abusi e comportamenti arbitrari da parte del datore di lavoro.

Vi rimando, quindi, al mio articolo, gentilmente ospitato sulle pagine (digitali!) di cybersecurity360 (lo trovate qui), per alcuni consigli pratici su come predisporre le policy in modo efficace.

Buona lettura!

Pubblicato in Privacy, Strumenti per il business | Contrassegnato , , , , | Lascia un commento

Il Data breach del Responsabile del trattamento

La figura del Responsabile del trattamento prevista dall’art. 28 del GDPR è generalmente nota: “qualora un trattamento debba essere effettuato per conto del Titolare del trattamento, quest’ultimo ricorre unicamente a Responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente Regolamento e garantisca la tutela dei diritti dell’interessato.

I trattamenti di dati personali del Titolare da parte di un Responsabile del trattamento sono, quindi, disciplinati da un contratto vincolante per quest’ultimo all’interno del quale viene, di norma, previsto che il Responsabile:

  1. tratti i dati personali soltanto su istruzione documentata del Titolare del trattamento;
  2. garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  3. adotti tutte le misure richieste dall’art. 32 GDPR;
  4. rispetti determinati criteri, indicati nei paragrafi 2 e 4 dell’art. 28, per nominare un altro Responsabile;
  5. assista il Titolare del trattamento con misure tecniche ed organizzative adeguate;
  6. assista il Titolare del trattamento negli obblighi di cui agli articoli 32 – 36 GDPR;
  7. su richiesta del Titolare, cancelli o restituisca tutti i dati personali al termine del proprio servizio;
  8. metta a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti a suo carico, consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del trattamento o da un altro soggetto da questi incaricato;
  9. informi immediatamente il Titolare del trattamento qualora un’istruzione violi il Regolamento o altro atto normativo;
  10. imponga i medesimi obblighi di cui sopra ai Responsabili del trattamento da lui nominati (i cosiddetti “Sub-responsabili”).

Un mio cliente mi ha recentemente contattato per segnalarmi che il proprio fornitore di servizi di fatturazione elettronica – una nota e consolidata realtà imprenditoriale – è stato oggetto di un attacco cyber che avrebbe compromesso i suoi sistemi IT.

Il fornitore, però, ha trasmesso al mio cliente solo un un laconico comunicato, avvisandolo di aver subito un attacco e di aver, pertanto, scollegato tutti i propri sistemi IT per impedire danni maggiori.

Il comportamento adottato da questo Responsabile del trattamento non è conforme a quanto richiesto dalla normativa europea e dalla generalità degli accordi ex art. 28 GDPR che sono stipulati con i Titolari del trattamento.

L’art. 33 del GDPR prevede, infatti, che, in caso di violazione dei dati, il Responsabile del trattamento deve avvertire il Titolare dell’avvenuta violazione dei dati, fornendogli ogni informazioni necessaria e idonea per consentire a quest’ultimo una compiuta analisi dei fatti e decidere se procedere o meno alla notificazione dell’evento al Garante per la Protezione dei Dati.

Secondo l’art. 33, comma 2, GDPR, “il Responsabile del trattamento informa il Titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione”.

La ragione di tale disposizione è chiara: una violazione di dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali, alle persone fisiche: ad esempio, la perdita di controllo di dati personali che li riguardano può causare discriminazione, furto o usurpazione di identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza, etc..

L’informativa del Responsabile al Titolare non può, quindi, essere limitata – come, invece, accaduto nel caso del mio cliente – ad una generica comunicazione di aver subito un data breach, ma dovrà indicare tutti gli elementi necessari a consentire al Titolare una piena valutazione dei fatti e contenere perlomeno:

  • la descrizione della natura della violazione;
  • le categorie e il numero approssimativo di interessati coinvolti;
  • le probabili conseguenze della violazione;
  • le misure adottate per rimediare alla violazione ed attenuarne gli effetti negativi.

Ricordo, a questo riguardo che, secondo il WP29, al fine di garantire l’effettivo rispetto delle previsioni in materia di data breach, il Responsabile del trattamento “deve attivarsi immediatamentenei confronti del Titolare, comunicando in tempo reale le informazioni in suo possesso, tenuto anche conto anche delle specifiche caratteristiche sia del Responsabile stesso sia del tipo di data breach che l’ha coinvolto.

Inoltre, deve essere tenuto in considerazione che il Responsabile del trattamento, ai sensi dell’art. 28 GDPR, deve presentare garanzie sufficienti per l’attuazione di misure tecniche ed organizzative adeguate per la protezione dei dati personali e che, per contratto, è tenuto ad assistere il Titolare del trattamento nel garantire un tempestivo rispetto dell’obbligo di notifica del data breach, tenuto conto della natura del trattamento e delle informazioni in suo possesso.

Se, poi, come nel caso del fornitore del mio cliente, il Responsabile svolge trattamenti per conto di più Titolari interessati dallo stesso incidente, il Responsabile dovrà informarli tutti dell’accaduto e, qualora sia previsto dagli accordi contrattuali con il Titolare, anche effettuare lui stesso la notifica al Garante in nome e per conto del Titolare.

Pubblicato in Digital life, Privacy, Strumenti per il business | Contrassegnato , , , | Lascia un commento

I cookies secondo l’ICO

L’ICO – l’Autorità Indipendente inglese che si occupa della protezione dei dati – ha recentemente pubblicato una Guida con le proprie indicazioni per l’uso dei cookies (potete trovare il testo integrale del documento nella sezione “documenti utili” del Blog, cliccando sul link).

La Guida dell’ICO sui cookies suddivide l’argomento in:

  • cosa sono i cookies e le tecnologie simili;
  • quali sono le regole sui cookies:
  • come le regole sui cookies si possono coordinare con il GDPR;
  • come soddisfare le regole sui cookies.

Ritengo scontato che tutti noi sappiamo, almeno a grandi linee, cosa sia un cookie, quali e quante siano le tipologie di cookies (di sessione e persistenti, di prime parti e di terze parti, etc.) e come funzionano. Pertanto, mi addentro nei contenuti più strettamente giuridici della Guida dell’ICO.

La Guida ci ricorda, innanzitutto, che il GDPR classifica i cookies come una tipologia di “identificativo online” (considerando n. 30): pertanto, un cookie di autenticazione utente che implichi l’elaborazione di dati personali perché utilizzato per consentire all’utente di accedere al proprio account ai fini di utilizzare un servizio web, costituisce un dato personale.

Uno dei principi cardini richiamati dalla Guida dell’ICO è che il gestore di un sito web che fa uso di cookies, deve:

  • esplicitare all’utente quali cookie utilizza;
  • chiarire la loro funzione;
  • ottenere il consenso dell’utente alla memorizzazione dei cookies sul proprio dispositivo.

l’ICO specifica, inoltre, che, al fine di dare un’informativa chiare all’utente, creare dei prospetti o delle liste dettagliate relative ad ogni cookie che opera in un dato sito, potrebbe essere una “strategia informativa apprezzabile”.

Nei siti che utilizzano decine o centinaia di cookies, potrebbe essere utile fornire all’utente un’informativa più ampia e approfondita circa le modalità di operatività dei cookies e le tipologie di cookies in uso.

Importante, poi, da un punto di vista pratico, è la precisazione dell’ICO in merito al fatto che, anche in applicazione dei principi del GDPR, si deve concludere che è vietato l’utilizzo dei cosiddetti “box pre-spuntati”, dato che il silenzio o l’inattività dell’interessato non costituiscono una valida manifestazione del consenso.

Questa conclusione implica, in particolare, che:

  1. il semplice fatto che l’utente continui a navigare sul sito non consente di ritenere validamente espresso il consenso ai cookies non essenziali per il sito stesso;
  2. l’utente deve essere informato dei tipi di cookies utilizzati e della loro funzione, prima della navigazione;
  3. non sono legittimi i box pre-selezionati all’uso di cookies non essenziali;
  4. l’utente deve possedere il controllo su ciascun cookie non essenziale e deve essere consentita la navigazione anche a chi decide di non volere tali cookies;
  5. sulla landing page del sito web non deve essere impostato alcun cookie non essenziale; diversamente, si vanificherebbero i principi stessi sopra descritti.

I suddetti principi sono stati, oltretutto, ulteriormente rafforzati dalla sentenza della Corte di Giustizia dell’Unione Europea del 29 luglio 2019 in base alla quale i cookies, in generale, possono essere usati solo se chi visita il sito manifesta un consenso attivo al loro utilizzo (cosiddetto meccanismo di “opt-in”). 

Secondo la Corte di Giustizia UE, i cookies non devono, quindi, entrare automaticamente in funzione, bensì possono attivarsi solo se il visitatore esprime attivamente il proprio consenso;

Inutile dire che tale principio è destinato a segnare, per la maggioranza dei siti web europei, un punto di rottura con il passato dato che i visitatori di un sito saranno chiamati a prestare uno specifico consenso attivo all’uso di cookie, plug-in e altri strumenti di online marketing e tracciamento dati.

Secondo l’ICO, inoltre, i gestori dei servizi web devono assicurare di fornire a tutti gli utenti che visitano per la prima volta il sito web, informazioni chiare circa i cookies utilizzati, chiarendo – altresì – che l’utente ha il pieno controllo sulle impostazioni dei cookies non essenziali e vi sono ragioni per le quali lo stesso gestore del servizio web potrebbe avere bisogno che gli utenti esprimano nuovamente il proprio consenso sui cookies.

Tuttavia, a seconda delle circostanze, potrebbe non essere necessario acquisire un nuovo consenso ogni volta che un utente visita il sito. Ciò dipenderà da diversi fattori, quali, ad esempio, la frequenza delle visite, l’aggiornamento dei contenuti o delle funzionalità dello sito web.

Un chiaro esempio di circostanza nella quale sarà necessario acquisire un nuovo consenso riguarda l’ipotesi in cui vengono impostati i cookies non essenziali da una nuova terza parte.

Segnalo, inoltre, come interessante guida alla revisione dei cookies impostati su un sito web, la procedura suggerita dall’ICO, che vi riassumo di seguito:

  • nel caso di cookie già attivi, confermare quali siano i cookie che operano direttamente da un sito web oppure attraverso di esso;
  • confermare le finalità di ogni cookie in uso o che si intende utilizzare in futuro;
  • confermare l’eventualità che i cookie siano collegati ad altre informazioni dell’utente e se il loro utilizzo coinvolge l’elaborazione di dati personali;
  • identificare quali dati sono trattati da ogni cookie;
  • confermare se vengono impiegati cookie di sessione o cookie permanenti;
  • fornire una distinzione tra i cookie che sono strettamente necessari e quelli che non lo sono e, per questi ultimi, fornire un’informativa chiara e comprensibile per consentire all’utente un valido consenso;
  • assicurarsi che il sistema di acquisizione del consenso sia in grado di permettere agli utenti di gestire le impostazioni dei cookies non indispensabili;
  • specificare la durata dei cookie permanenti, valutandone l’adeguatezza rispetto alla finalità;
  • indicare se ogni cookie è proprio o di terze parti e, in tal ultimo caso, indicare la parte che lo ha impostato;
  • verificare che l’informativa sia chiara e adeguata per ogni singolo cookie;
  • indicare quale informazione venga condivisa con terze parti e quali utenti ne siano edotti;
  • definire una scadenza adeguata per le revisioni future.

Indubbiamente la Guida dell’ICO e la recente sentenza della Corte di Giustizia costituiscono dei chiari punti di riferimento per tutti i Titolari del trattamento che utilizzano siti web per il loro business.

Tenuto, però, conto che ci sono siti che si avvalgono di numerosissimi cookies con le più svariate funzioni e che le landing page di un sito possono essere molteplici, credo che una rigida applicazione di questi principi – assolutamente condivisibili sotto il profilo giuridico – possano produrre una sorta di “effetto respingente” alla navigazione di certe pagine web qualora all’utente sia richiesto di compiere numerose scelte di accettazione esplicita di cookies prima di poter navigare sul sito.

Pubblicato in Digital life, Ecommerce, Privacy, Strumenti per il business, Tecnologia per il business | Contrassegnato , , , | Lascia un commento

AAA – Auto a guida autonoma cercasi

Che fine ha fatto l’auto a guida autonoma?

Fino ad un anno fa si susseguivano continue notizie sui rapidi sviluppi (ed anche su qualche incidente, per la verità) delle auto a guida autonoma e si scommetteva su chi sarebbe stato – tra i grandi produttori, vecchi e nuovi – il primo ad immettere sul mercato questo fantastico prodotto, in grado di rivoluzionare il nostro modo di viaggiare: Google? Tesla? Volkswagen o BMW?

Ne parlavo anch’io negli articoli “La cyber security dell’auto connessa è realmente possibile?” e “Quali norme per KITT?”: sembra trascorso un secolo e, invece, sono meno di due anni; ma è inevitabile constatare che oggi, questo oggetto del desiderio, sembra meno vicino.

Speriamo che non passi nell’oblio come altri prodotti tech di cui si sono fatti roboanti celebrazioni e che non sono mai realmente apparsi sul mercato di massa: a proposito, chi ha avuto l’onore di indossare i fantomatici google glass?

Sto aspettando dagli anni ’80 l’auto volante e che l’uomo conquisti Marte: sulla Luna ci siamo arrivati negli anni ’60 ma, poi, l’uomo non si è fermato e chi c’è stato deve aver fatto qualche recensione negativa sui social, perché nessuno ha desiderato più metterci piede per decenni!

Nel frattempo, ho avuto l’occasione di provare un auto dotata del sistema di park assistant (che sta all’auto a guida autonoma come un triciclo sta a un trattore Jhon Deere) e l’ho trovato utile come l’air gesture di certi smartphone della Samsung: prima di imparare come si usa, hai già trovato un modo più rapido per farlo!

Quando vedi la pubblicità in televisione, ti mostrano un auto che si accosta al parcheggio, si ferma, ruota il volante ed entra senza problemi né esitazioni nello spazio del parcheggio: nessuno ti spiega, però, che per fare quella manovra ti devi prima leggere il libretto delle istruzioni su come accostare, quando azionare il comando di park assistant, etc. etc..

La prima volta che ho cercato di usarlo, l’auto semplicemente non si è mossa perché non avevo capito come funzionava e sono dovuto tornare dal Concessionario per farmelo spiegare! Già solo per questo, non la possiamo definire una tecnologia user friendly!

Ciò che il marketing non vi dice è che, per usare il park assistant, occorre esercitarsi prima da soli e impararne gli automatismi in situazione di relax, senza lo stress di sapere che dietro di te ci sono auto in coda che aspettano di passare.

Ho cercato di capire se fossi io ad avere dei limiti; mi sono consolato leggendo questo intervento di un utilizzatore del sistema sul forum della rivista Quattroruote:Non è che non lo uso. Cioè vorrei usarlo, se fosse pratico. Ti faccio il punto, almeno per quello che so del sistema montato sulla mia X1.

1) lo spazio di parcheggio deve essere di 5,50 m (almeno 1 metro in più rispetto all’auto);
2) la ricerca deve avvenire a velocità non superiore ai 25 Km/h;
3) la macchina, quando crede di avere trovato un parcheggio, ti invita ad attivare la procedura di parcheggio automatico (freccia dx o sx) ma la funzione si spegne e non riesci più a riattivarla se acceleri o fai qualsiasi altra cosa non prevista.

Passi per il punto (1) ma il punto (2) e (3). Pensali in una città di circa 1 milione di abitanti alle 8,30 del mattino. Il (3) non sarebbe un problema se la macchina non mi indicasse l’avvio della procedura sempre nel momento sbagliato. Spesso lo fa quando sono ancora troppo indietro rispetto alla macchina che mi resterebbe parcheggiata davanti una volta finito. Quasi sempre per motivi di traffico sono costretto a spostarmi o accostare per fare passare le auto che ho dietro e questo basta a resettare la procedura. Inoltre non ho trovato altro modo di riavviarla se non ricominciando da capo, che significa cercare un altro parcheggio” .

Vi vedete, voi, nel traffico di una città come Roma o Milano ad occupare tre quarti di carreggiata e controllare di fare i passaggi in modo corretto per consentire all’auto di fare la manovra? A quel punto vi hanno suonato già in così tanti che ve lo fate da soli!

Se poi consideriamo che il park assistant dovrebbe servire alle persone di una certa età che hanno perso un po’ di fiducia e di dimestichezza nel mezzo automobilistico, si capisce che l’utilità e la concreta fruibilità di questa tecnologia è tutt’altro che verosimile!

E, infatti, le ultime notizie sugli sviluppi dell’auto a guida autonoma hanno titoli significativi quali “la strada da percorrere, senza conducente, è ancora lunga per le auto a guida autonoma: “la guida autonoma è oggi un tema meno caldo rispetto ai mesi scorsi, quando non passava un giorno senza che uscisse una notizia che facesse credere che l’auto senza conducente fosse ad un passo dal divenire realtà. Con il passare del tempo il marketing delle aziende coinvolte ha abbassato di molto i toni e la comunicazione è passata dai trionfalismi ad un più sano realismo. A far cambiare paradigma, purtroppo, sono stati anche alcuni incidenti mortali che hanno coinvolto le auto a guida più o meno autonoma, o che sono stati causati da esse. Dal punto di vista industriale, poi, tutti i costruttori auto, e tutte le startup che operano in questo settore, si sono dovuti scontrare con un problema non da poco: chi sa costruire auto non sa scrivere software, chi sa scrivere software non sa costruire auto.

Per fortuna c’è Elon Musk che ci porterà su Marte!

Pubblicato in Digital life, Tecnologia per il business | Contrassegnato , , , | Lascia un commento

Proteggere i dati personali oggi

Oggi voglio parlarvi del libro del Prof. Carlo FocarelliPrivacy – Proteggere i dati personali oggi“, che ho letto durante l’ormai trascorsa estate.

Il libro tratta il tema della protezione internazionale dei dati personali sotto molteplici profili: con riferimento all’economia digitale, alla sicurezza nazionale, al diritto internazionale, ai diritti umani.

L’argomento dati personali e privacy viene, quindi, trattato a tutto campo, con una particolare attenzione alla raccolta indiscriminata di dati personali, soprattutto on-line, ed all’incapacità delle attuali tutele legislative, anche di diritto internazionale, a contrastare in modo efficace gli abusi quotidiani nel trattamento dei nostri dati.

Illuminante ed estremamente attuale del potere che conferiscono i dati per chi li possiede è lo “scenario 2” della prefazione del libro, dove viene descritto un tipico caso di utilizzazione fraudolenta dei dei dati personali degli individui a fini politici.

L’Autore descrive così lo scenario: “vorrei avere più potere e mi sembra una buona idea entrare in politica. Trovandomi in democrazia, se voglio farlo con successo ho bisogno di un tot numero di voti alle prossime elezioni. Ma come convinco gli elettori a votarmi? Di sicuro ci sono altri aspiranti al potere che la pensano come me e vogliono quei voti. In passato non avrei avuto altro da fare che aderire a un partito politico fino a farmi candidare. Sarebbe stato il partito alle cui idee di fondo io credevo per il bene del mondo (…). Oggi mi chiedo: “cosa devo dire a chi” per avere un tot di voti che mi servono per essere eletto? Devo essere più abile dei miei concorrenti a dire all’elettore ciò che l’elettore vuole sentirsi dire per darmi il voto (…). Ma come posso conoscere con precisione ciò che i miei elettori vogliono sentirsi dire? Devo farmi dare dagli elettori stessi i loro dati personali senza che se ne rendano conto. Devo sapere cosa vedono e comprano su internet, chiedere il loro giudizio su tutto, farli votare nei media a più non posso“.

Vi ricorda qualcosa? Credo di sì.

Lascio a voi leggere l’ultima parte di questo scenario tratteggiato dall’Autore, che è tanto cinico quanto, purtroppo, realistico ed anzi ormai parte del nostro vissuto.

Di fronte a queste facili tecniche di strumentalizzazione dei nostri dati personali, l’Autore si interroga su quali siano i rimedi offerti oggi dal diritto per tutelare gli individui contro gli abusi, più o meno palesi, dei loro dati personali.

La trattazione si snoda attraverso un percorso di analisi, tra gli altri, del problema dei metadati, dei big data, dei pericoli dell’approccio “data driven” ed anche dei rischi di una raccolta indiscriminata di dati per fini di sicurezza pubblica, dimostrando che il tema dei dati personali investe, ormai, ogni aspetto della nostra vita.

Il libro si sofferma, inoltre, sull’analisi storica dei trattati internazionali che disciplinano la materia, soffermandosi sulla tutela dei diritti umani contro l’uso dei dati per fini di controllo sociale.

Un buon libro, con un solida struttura e guidato da un approccio scientifico, con un’unica pecca: il libro è stato pubblicato nel 2015 e la parte normativa non è aggiornata agli ultimi sviluppi. Servirebbe una nuova edizione.

Comunque, una lettura che consiglio.

Pubblicato in Privacy, Recensioni | Contrassegnato , , , , , , | Lascia un commento

The Great Hack

Una mia cliente mi ha suggerito di vedere The Great Hack, il recente documentario di Netflix che racconta lo scandalo della società di analisi di dati e comunicazione elettorale, Cambridge Analytica, scoppiato nel 2018.

Come noto, Cambridge Analytica aveva acquisito tramite Facebook dati personali di circa 50 milioni di utenti (poi saliti a circa 87 milioni), utilizzandoli illecitamente quale strumento per operare in varie campagne elettorali e politiche, senza alcuna autorizzazione degli interessati per questa finalità di trattamento. 

The Great Hack si focalizza principalmente sulle vicende che hanno portato alla vittoria di Donald Trump e del partito britannico Leave.EU nella battaglia elettorale che ha ci ha regalato la Brexit, ma il raggio di azione di Cambridge Analytica è stato molto più vasto ed ha coinvolto molti altri processi elettorali in svariati Paesi del mondo, attraverso la deliberata manipolazione – questa è la tesi di fondo del documentario – della democrazia come noi la conosciamo, dimostrandone la sua tragica fragilità, ormai alla mercè di chiunque possieda sufficienti dati sugli elettori di riferimento.

Mi ha impressionato, in particolare, la figura di Brittany Kaiser, “braccio armato” di Cambridge Analytica nella battaglia elettorale a sostegno di Trump, ma con un passato di attivista dei diritti umani e sostenitrice della campagna di Obama.

Un cambiamento di rotta, quello di Brittany Kaiser, davvero inspiegabile e solo in parte giustificato (?) dalle dichiarate impellenti necessità economiche della sua famiglia; cosa può spingere una persona con un passato a difesa dei diritti umani a sposare le sorti di una società dedita alla sistematica manipolazione del prossimo a favore del miglior offerente (politico)?

Io mi sono convinto che Brittany Kaiser, nel suo intimo, fosse affascinata e sedotta dalla facilità con cui Cambridge Analytica riusciva a manipolare il comportamento di tanta gente, alterando il risultato elettorale, all’insaputa degli stessi manipolati, che si illudevano di aver votato secondo coscienza ed in base al loro libero arbitrio.

Al di là del clamore suscitato dal coinvolgimento della campagna elettorale di Trump e dell’esito della Brexit, il caso Cambridge Analytica ha mostrato al mondo come sia facile manipolare il comportamento delle persone (e, dunque, orientarne le decisioni) sfruttando le informazioni che quelle stesse persone mettono in rete ogni giorno, in particolare tramite i social network.

Utilizzando una banale opzione concessa a quell’epoca (ma ora, non più!) da Facebook ai programmatori delle terze parti, Cambridge Analytica ha letteralmente (ed illecitamente!) indotto, a loro insaputa, migliaia di elettori indecisi a votare come desiderava il cliente del momento, bombardando queste persone con messaggi tanto tendenziosi quanto personalizzati, attraverso tutte le piattaforme utilizzate da queste stesse persone!

Il caso Cambridge Analytica dimostra che la rete è piena di falle e non è per nulla trasparente e che il modello di business dei big players del settore, basato sulla profilazione dell’utente, si presta a straordinari abusi.

Dopo aver visto The Great Hack, nessuno osi più dire, per favore, “a cosa serve questa privacy“: guardate il documentario su Cambridge Analytica e riflettete sul valore dei dati che immettete in rete ogni giorno e diffidate (in modo sano!) sulla genuinità dei messaggi che vi vengono proposti!

Pubblicato in Digital life, Recensioni | Contrassegnato , , , | Lascia un commento

Notifica data breach: istruzioni per l’uso

Già in passato mi sono occupato del tema “data breach“: potete, ad esempio, leggere il mio articolo “Data breach: indicazioni dal Garante“, che tratta delle corrette modalità con cui deve essere notificato agli interessati un evento di data breach e, soprattutto, quali sono gli errori da evitare.

Oggi, invece, voglio occuparmi del recente provvedimento del nostro Garante che, poco prima della pausa estiva, ha pubblicato sul proprio sito il modello ufficiale di notifica data breach(letteralmente, di “notifica di una violazione dei dati personali ai sensi dell’art. 33 del Regolamento UE 2016/679” – ai più noto come il “famigerato” GDPR).

Per facilitarvi il recupero del modello pubblicato dal Garante in una sezione del sito non particolarmente intuitiva, potete scaricarlo direttamente dalla nuova sezione del Blog “modelli e utilità“.

Il modello di notifica al Garante si compone di 13 pagine, con molti campi da compilare, ma solo dopo aver scaricato il file .pdf editabile sul proprio PC (insomma, non compilatelo on-line o farete un lavoro inutile).

Nel modello si distinguono le seguenti aree principali:

  1. tipologia della notifica (preliminare, completa, integrativa);
  2. soggetti coinvolti nel trattamento (titolari, contitolari, responsabili, rappresentanti del titolare non stabilito in UE);
  3. informazioni di sintesi della violazione (quando e come è avvenuta la violazione, quando e come è stata scoperta, in cosa è consistita la violazione);
  4. natura della violazione (perdita di confidenzialità, di integrità o di disponibilità). Non vi sfuggirà che questa distinzione richiama con tutta evidenza i criteri ENISA sulla valutazione del rischio, in merito ai quali potete leggere, se avete tempo, il mio articolo “I criteri ENISA al servizio della protezione dei dati“;
  5. cause della violazione (intenzionale interna, accidentale interna; intenzionale esterna, accidentale esterna; sconosciuta, altro);
  6. categorie di dati personali oggetto della violazione;
  7. volumi (da intendere come quantità in numero di file, database, etc.) di dati personali violati;
  8. categorie di interessati coinvolti;
  9. numero di interessati coinvolti.

Segue, poi, una parte a componimento più libero, nella quale è possibile descrivere diffusamente l’evento di data breach e le sue possibili conseguenze – anche in questo caso, seguendo la tripartizione “confidenzialità, integrità e disponibilità” fatta propria dai criteri ENISA di cui accennavo sopra – nonché le misure (di contenimento, di rimedio e di prevenzione futura) adottate.

L’ultima parte è, infine, dedicata alle informazioni in merito alla comunicazione dell’evento di data breach agli interessati e sull’ampiezza geografica della violazione (nazionale o europea), con richiesta di indicazione delle Autorità che sono state eventualmente già coinvolte nella segnalazione (altre Autorità indipendenti, Autorità Giudiziaria o di Polizia, etc.).

Indubbiamente il modello di notificazione dell’evento di data breach pubblicato dal Garante a fine luglio 2019 ha una indiscutibile utilità pratica, perché consente a chi si trova nella condizione di dover segnalare la violazione, di non omettere informazioni essenziali ed anche di porsi tutte le domande richieste dalla situazione di crisi, anche nell’ottica di impostare una reazione immediata, finalizzata al contenimento degli effetti lesivi per gli interessati.

Vi segnalo, inoltre, che il modello di notifica, una volta completato in ogni sua parte, dovrà essere sottoscritto con firma elettronica qualificata o digitale e inviato al Garante tramite posta elettronica all’indirizzo protocollo@pec.gpdp.it, con l’oggetto (obbligatorio) “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del Titolare del trattamento.

Se la firma sul modello di notifica viene apposta in modo autografo, occorrerà anche allegare al modello la copia del documento d’identità del firmatario.

Occorre, peraltro, ricordare che non tutte le violazioni devono essere notificate al Garante.

Gli eventi di data breach, infatti, devono essere notificati al Garante solo quando possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali, quali: perdita del controllo sui propri dati personali, limitazione di alcuni diritti, discriminazione, furto d’identità, rischio di frode, perdita di riservatezza dei dati personali protetti dal segreto professionale, perdite finanziarie, danno alla reputazione o un qualsiasi altro significativo svantaggio economico o sociale.

Se vi resta ancora un po’ di tempo dopo aver letto questo articolo, potete anche leggere il mio precedente contributo sul tema dal titolo Quando si può omettere la notifica al Garante di un evento di data breach?“, nel quale ho cercato di elencare le ipotesi concrete in cui, pur in presenza di una violazione di dati personali, esistono delle circostanze di fatto che escludono l’esigenza di segnalazione al Garante.

E’, comunque, importante tenere presente che, anche qualora non si debba procedere alla notifica al Garanteè indispensabile mantenere aggiornata, preferibilmente all’interno del Registro dei trattamenti, una sezione dedicata alla cronologia delle violazioni, dove registrare tutti gli eventi di data breach, anche quelli che non hanno richiesto la notifica al Garante o agli interessati, e ciò ai fini di apprendimento e miglioramento delle procedure di sicurezza per il futuro, in ossequio al principio di accountability.

Pubblicato in Privacy, Strumenti per il business | Contrassegnato , , , , | Lascia un commento

Dati particolari dei lavoratori: le prescrizioni del Garante

Poco prima della pausa estiva, il nostro Garante ha dato esecuzione a quanto previsto dall’art. 21 del D.lgs. 101/2018, informandoci della pubblicazione del proprio Provvedimento di carattere generale “recante le prescrizioni relative al trattamento di categorie particolari di dati” (potete trovare il testo integrale nella sezione “Documenti utili” del Blog, cliccando qui).

Per chi non abbia molta voglia di andare a consultarlo, ricordo che l’art. 21 stabiliva che il Garante dovesse, con proprio “provvedimento di carattere generale da porre in consultazione pubblica”, individuare le prescrizioni contenute nelle autorizzazioni generali già adottate in alcune materie che fossero compatibili con il GDPR, provvedendo, se del caso, al loro aggiornamento.

Quel Provvedimento generale è finalmente giunto alla conclusione del suo iter ed è stato pubblicato in Gazzetta Ufficiale, senza troppe cerimonie, il 29 luglio 2019, giusto in tempo per lasciarci qualcosa da leggere sotto l’ombrellone.

In sintesi, il Provvedimento generale del Garante in merito al trattamento di categorie particolari di dati, si occupa dei seguenti argomenti:

  1. prescrizioni relative al trattamento nei rapporti di lavoro (con riferimento all’autorizzazione generale 1/2016);
  2. prescrizioni relative al trattamento da parte degli organismi di tipo associativo, fondazioni, chiese e comunità religiose (con riferimento all’autorizzazione generale 3/2016); ;
  3. prescrizioni relative al trattamento da parte degli investigatori privati (con riferimento all’autorizzazione generale 6/2016); ;
  4. prescrizioni relative al trattamento dei dati genetici (con riferimento all’autorizzazione generale 8/2016);
  5. prescrizioni relative al trattamento per scopi di ricerca scientifica (con riferimento all’autorizzazione generale 9/2016).

Oggi voglio soffermarmi sulle prescrizioni relative ai trattamenti di categorie particolari di dati nei rapporti di lavoro, per gli evidenti diffusi riflessi pratici di questo tipo di trattamenti, riservandomi, però, di analizzare anche le altre tipologie di trattamento oggetto del Provvedimento in futuri articoli del Blog, dato che vi sono spunti interessanti da segnalare anche per queste altre.

Il Provvedimento del Garante si denota per una gradita concretezza e specificità, probabilmente frutto anche dei suggerimenti e spunti di riflessione acquisiti durante la fase di consultazione pubblica.

Del Provvedimento, mi sembra utile segnalare:

  1. l’ambito soggettivo: sono, infatti, interessati dal Provvedimento le agenzie per il lavoro e tutti quei soggetti che svolgono attività di intermediazione, ricerca e selezione del personale; tutti gli enti che utilizzano, a qualsiasi titolo, prestazioni lavorative, anche atipiche; gli organismi paritetici che gestiscono osservatori in materia di lavoro; i rappresentanti dei lavoratori per la sicurezza; i consulenti del lavoro e tutti coloro che curano gli adempimenti in materia di lavoro; le associazioni e tutti gli enti in genere rappresentativi di categorie di datori di lavoro; i medici competenti;
  2. le categorie di interessati: il Provvedimento si applica ai candidati, ai lavoratori occupati con qualsiasi forma contrattuale (compresi i praticanti per l’abilitazione professionale), i consulenti e liberi professionisti; i lavoratori autonomi che hanno rapporti di collaborazione con qualsiasi committente; le persone fisiche che ricoprono cariche sociali in persone giuridiche o enti; i terzi danneggiati nell’esercizio dell’attività lavorativa o professionale; i terzi (compresi familiari e conviventi dei lavoratori) per il rilascio di agevolazioni e permessi.

In tale contesto di operatività, il Provvedimento del Garante descrive e disciplina:

a) quali sono le finalità di trattamento dei dati particolari consentite “solo se necessario”;
b) quali dati particolari possono essere trattati nella fase preliminare di assunzione;
c) quali dati particolari possono essere trattati nel corso del rapporto di lavoro (con particolare riferimento a quelli religiosi, politici e sindacali);
d) quali dati particolari non possono essere trattati, neppure con il consenso dell’interessato (dati genetici);
e) quali sono le corrette modalità di trattamento consentite (dove devono essere raccolti, con quali mezzi possono essere comunicati, etc.).

Non posso, per ovvi motivi di spazio (mio) e di tempo (vostro), dilungarmi nei dettagli dei singoli aspetti presi in considerazione dal Provvedimento Generale del Garante nell’ambito dei rapporti di lavoro, che potrete, occorrendo, approfondire direttamente leggendone il testo nella Sezione “documenti utili” del Blog.

Ritengo, comunque, apprezzabile che il Provvedimento, pur senza innovare o stravolgere in modo significativo l’impianto della precedente autorizzazione generale, consenta di mettere dei punti fermi su alcuni argomenti che, a distanza di oltre un anno dall’entrata in vigore del GDPR, ancora suscitavano, da parte di alcuni, interpretazioni fuorvianti, discutibili e, in qualche caso, anche improbabili.

E’ sicuramente un Provvedimento che deve essere conosciuto da tutti coloro che operano a contatto con le imprese ed il mondo del lavoro ed il cui contenuto spero di contribuire a diffondere, dato che la pubblicazione è avvenuta in concomitanza con l’inizio, per molti, del periodo di ferie estive, che sicuramente non è stato uno dei più congeniali per attirare l’attenzione.

Pubblicato in Privacy, Strumenti per il business | Contrassegnato , , , , | Lascia un commento

Buone vacanze!

Le alte temperature meteo di questi giorni contribuiscono ad accrescere il nostro “bruciante” desiderio di lasciare l’ufficio e dismettere i consueti abiti (qualcuno direbbe “panni”) da lavoro per le desiderate mete estive scelte per le nostre vacanze.

L’anno scorso il nostro Garante aveva pubblicato un vademecum in 13 punti per raccomandare a tutti noi un uso consapevole e responsabile degli strumenti informatici durante le vacanze, sollecitandoci, in particolare, “a non lasciare a casa il buon senso. La miglior difesa anche nel periodo delle vacanze è usare con consapevolezza e attenzione le nuove tecnologie e gestire con accortezza i nostri dati personali, ricordando semplici regole che tutti possono mettere in campo”.

Quest’anno ci ha pensato il Garante polacco (UODO) a pubblicare una sorta di guida estiva per mettere in guardia tutti noi dai potenziali rischi che si possono verificare nelle tipiche situazioni di villeggiatura.

Ne parla diffusamente Luigi Mischitelli nell’interessante articolo, pubblicato sulla rivista cybersecurity360.it, dal titolo “La protezione dei dati in vacanza: i consigli dell’autorità privacy polacca UODO”, di cui vi consiglio la lettura.

E’, in particolare, interessante il richiamo dell’Autority polacca a tenere in considerazione il principio secondo cui nessuno può obbligare legalmente una persona a lasciare un documento di riconoscimento “in pegno” (carta d’identità, passaporto, patente di guida) per il noleggio di attrezzature ricreative e/o sportive: pratica, questa, molto diffusa in vacanza ed a cui spesso – forse anche per la particolare situazione di relax in cui ci troviamo – si fa poca attenzione.

L’estate 2019 è anche il momento del bilancio per il Blog Ronchilegal, che giunge a conclusione del suo secondo anno di vita.

E’, quindi, il momento di dare alcuni numeri (il caldo, sotto questo profilo, aiuta!): nel corso dell’ultimo anno, da settembre 2018 a luglio 2019, ho pubblicato 43 articoli su argomenti prevalentemente legati al mondo della protezione dei dati e del mercato digitale e, nel momento in cui scrivo, il Blog è stato visitato 31.751 volte (l’anno scorso erano 13.008).

Non è stato facile mantenere l’impegno di offrire ai miei lettori, ogni settimana, un nuovo spunto di riflessione informativo ma spero di essere riuscito a trovare, almeno nella maggioranza delle occasioni, un valido argomento di lettura per chi ha visitato il Blog o si è iscritto alla mia newsletter settimanale: a proposito, se non lo avete ancora fatto, è l’occasione buona per registrarsi compilando il form qui a destra!

Le vostre crescenti visite al Blog e la vostra partecipazione sono state uno stimolo fondamentale ed indispensabile per continuare a scrivere anche quando la stanchezza e la scarsità di tempo a mia disposizione mi avrebbero facilmente indotto a lasciar perdere.

Grazie, quindi, di cuore a tutti coloro che mi hanno letto e seguito, anche su LinkedIn e su Twitter.

Grazie, inoltre, a tutti coloro che, nel corso di quest’anno insieme, mi hanno spronato – con consigli, complimenti, suggerimenti, indicazioni, richieste di aiuto, etc. – a rendere il Blog un luogo di confronto professionale, così come desideravo che fosse.

Mentre siete sotto l’ombrellone ricordatevi, però, anche di chi ha bisogno di noi.

Dato che avrete un po’ di tempo a disposizione, andate a visitare il sito della Fondazione Corti di Milano – che da oltre 25 anni sostiene il Lacor Hospital in Uganda nel suo sforzo quotidiano di offrire cure mediche al minor costo possibile a centinaia di migliaia di pazienti (grandissima parte dei quali sono bambini) – e, se potete, regalate ai bambini dell’Uganda il vostro 5 per mille o fate una donazione spontanea.

Quello che per noi è solo il costo di un giorno trascorso in spiaggia, in Uganda permette a tanti bambini di curarsi e di avere un futuro!

Buone vacanze!

Pubblicato in Digital life | Contrassegnato | Lascia un commento

10 regole per la videosorveglianza

L´adozione di sistemi di videosorveglianza è in continua crescita ed implica, come noto, il trattamento di immagini che, se riferiti ad una persona identificata o identificabile, rientrano nella categoria dei dati personali, disciplinati dal Regolamento UE 2016/679 (GDPR) e, naturalmente, anche del nostro D.lgs. 196/2003 post riforma dell’agosto 2018 (Codice Privacy italiano) .

Le dimensioni assunte dal fenomeno – soprattutto a seguito delle possibilità offerte dalle attuali tecnologie di riconoscimento delle immagini, di intelligenza artificiale e di machine learning – portano ad un cospicuo incremento dell’incisività e della pervasività degli apparati video con un aumento esponenziale dei potenziali rischi per le nostre libertà individuali, ben oltre le originarie preoccupazioni che avevano spinto il nostro Garante ad intervenire per fissare un punto di equilibrio tra esigenze di sicurezza, prevenzione e repressione dei reati, e diritto alla riservatezza ed alla libertà delle persone.

Le tappe fondamentali dell’evoluzione normativa e giurisprudenziale sul tema della videosorveglianza nel nostro Paese sono così sintetizzabili:

  • nel luglio del 2000 è stata portata a termine la prima indagine sulla presenza di telecamere visibili in Italia;
  • nel novembre 2000 il nostro Garante ha emanato delle linee guida contenenti gli indirizzi generali per garantire che l´installazione di dispositivi per la videosorveglianza rispettassero le norme sulla privacy e sulla tutela della libertà delle persone, assicurando la proporzionalità tra mezzi impiegati e fini perseguiti;
  • la materia è stata, poi, oggetto di due provvedimenti generali del Garante, rispettivamente del 2004 e del 2010, contenenti prescrizioni vincolanti per tutti coloro che intendessero avvalersi di sistemi di videosorveglianza e precise garanzie per la privacy degli interessati;
  • il provvedimento del 2010 ha, in particolare, integrato quello del 2004 per tenere conto delle possibilità offerte dalle nuove tecnologie, con una speciale attenzione dedicata alle garanzie sul fronte dell´informazione a tutti i soggetti che transitano in aree videosorvegliate (con l’obbligo di esporre sempre i cartelli informativi) ed ai limiti per la conservazione delle immagini raccolte.

A questi provvedimenti di carattere generale di natura nazionale si aggiungono, oggi, le recentissime Linee Guida 3/2019 dell’European Board of Data Protection (EDPB), varate durante la dodicesima sessione plenaria del 9-10 luglio 2019, al momento in consultazione pubblica (potete trovare il testo ufficiale, disponibile solo in inglese, nella sezione documenti utili del Blog – documento n. 39 – cliccando qui).

Le linee guida dell’EDPB tengono conto del fatto che, nel corso dei dieci anni trascorsi dall’ultimo provvedimento generale del nostro Garante, la tecnologia è ulteriormente (e rapidamente!) cambiata ed i dispositivi di videosorveglianza spesso sono diventati sistemi “intelligenti”, combinando tra loro ingenti quantità di dati che aumentano il rischio di utilizzi secondari (collegati o meno alle finalità originarie) o anche di utilizzi illeciti.

L’EDPB invita, quindi, tutti i Paesi membri a garantire che i sistemi di videosorveglianza siano utilizzati sempre nel rispetto dei principi generali di cui all’art. 5 del GDPR e che la videosorveglianza venga effettuata solo quando non vi siano altre modalità, meno intrusive, per ottenere il medesimo scopo.

Senza addentrarmi nel dettaglio delle 29 pagine del documento dell’EDPB, che potete facilmente consultare voi stessi al link segnalato sopra e di cui potete leggere un dettagliato commento anche su cybersecurity360.it (rivista on-line con la quale anch’io ho il piacere di collaborare) nell’ottimo articolo di Luigi Mischitelli (videosorveglianza e GDPR. I consigli e gli esempi nelle linee guida EDPB), richiamo qui solo alcuni aspetti di carattere generale delle Linee Guida che evidenziano la rapida evoluzione tecnologia avvenuta in materia.

L’EDPB, infatti, preso atto che il monitoraggio sistematico e automatizzato di uno spazio specifico mediante dispositivi audiovisivi (principalmente per la protezione della proprietà o per la tutela della vita e della salute dell’individuo) è diventato un obiettivo significativo in tutto il territorio europeo, si preoccupa dell’ampliamento esponenziale del numero di informazioni e di dati personali raccolti e richiede, pertanto, come misura necessaria:

  • dove vi sia una “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”, la valutazione di impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35, comma 3 lett. c) del GDPR;
  • quando il trattamento delle immagini comporti per sua natura un controllo regolare e sistematico degli interessati su larga scala, anche la nomina di un Responsabile della Protezione dei Dati (RPD o, come preferisco, DPO) in base all’art. 37, comma 1, lett. b) del GDPR.

Fanno eccezione a queste regole le ipotesi in cui gli interessati non possono essere identificati, direttamente o indirettamente e, quindi:

  • in caso di telecamere finte;
  • in caso di registrazioni ad un’altitudine elevata che non permetta l’identificazione dei soggetti (in linea, peraltro, con le regole già applicabili ai droni di cui mi sono occupato nel mio precedente articolo “Droni: istruzioni dai Garanti Europei”);
  • in caso di telecamere da park assist, a condizione che le stesse non raccolgano alcuna informazione relativa a persone fisiche identificate o identificabili (ad esempio non raccolgano dati relativi a targhe o informazioni che potrebbero identificare i passanti).

Interessante è anche il principio espresso dall’EDPB quale diretta applicazione della regola di minimizzazione dei dati: la scelta tra il monitoraggio in tempo reale (la cosiddetta ripresa “live”) e la registrazione deve essere fatta tenendo conto dello scopo perseguito e, quindi, la prima soluzione deve considerarsi inadatta se lo scopo perseguito è solo quello di conservare le prove. E’ un principio che potrebbe implicare, per molti, una revisione delle attuali modalità di videosorveglianza, dato che spesso le due forme (registrazione e monitoraggio “live“) convivono.

Le linee guida dell’EDPB svolgono senz’altro un quadro organico, omogeneo e aggiornato della disciplina della videosorveglianza all’interno dell’Unione ma confermano anche la permanente validità del decalogo di principi enucleato sulla materia dal nostro Garante fin dagli inizi del secolo per un corretto uso degli impianti di videosorveglianza e, cioè:

  1. l’acquisizione di immagini tramite sistemi di videosorveglianza costituisce un trattamento di dati personali a tutti gli effetti;
  2. i titolari del trattamento devono determinare esattamente le finalità perseguite attraverso la videosorveglianza e verificarne la liceità in base alle norme vigenti;.
  3. il trattamento dei dati deve avvenire secondo correttezza e per scopi determinati, espliciti e legittimi;
  4. si devono fornire alle persone che possono essere riprese indicazioni chiare, anche se sintetiche, che avvertano della presenza di impianti di videosorveglianza, fornendo loro le informazioni necessarie soprattutto quando le apparecchiature non siano immediatamente visibili;
  5. occorre rispettare scrupolosamente il divieto di controllo a distanza dei lavoratori e le precise garanzie previste al riguardo (art. 4 legge 300/1970);
  6. occorre rispettare i principi di pertinenza e di non eccedenza, raccogliendo solo i dati strettamente necessari per il raggiungimento delle finalità perseguite, registrando le sole immagini indispensabili, limitando l’angolo visuale delle riprese, evitando – quando non indispensabili – immagini dettagliate, ingrandite o dettagli non rilevanti, stabilendo in modo conseguente la localizzazione delle telecamere e le modalità di ripresa;
  7. occorre determinare con precisione il periodo di conservazione delle immagini e prevedere la loro conservazione solo in relazione a illeciti che si siano verificati o a indagini delle autorità giudiziarie o di polizia;
  8. occorre designare per iscritto i soggetti che possono utilizzare i sistemi di videosorveglianza e prendere visione delle registrazioni, avendo cura che essi accedano ai soli dati personali strettamente necessari e vietando rigorosamente l’accesso di altri soggetti (salvo che si tratti di indagini giudiziarie o di polizia);
  9. i dati raccolti per determinati fini non possono essere utilizzati per finalità diverse o ulteriori;
  10. i dati raccolti per determinati fini non possono essere diffusi o comunicati a terzi.

Sono, questi, principi cardine della materia che hanno trovato, nel tempo, nuove declinazioni ed applicazioni ma che restano gli imprescindibili baluardi a tutela dei diritti degli individui.

Pubblicato in Digital life, Privacy, Strumenti per il business | Contrassegnato , , | Lascia un commento

Che cosa vogliono gli algoritmi?

Oggi vi parlo di un libro che si occupa di algoritmi, appena terminato di leggere.

Il libro si intitola “Cosa vogliono gli algoritmi – L’immaginazione nell’era dei computer” ed il suo autore, Ed Finn, è il fondatore e direttore del Center for science and the imagination dell’Università dell’Arizona.

Tutti noi sappiamo – o, almeno, così ci viene detto – che gli algoritmi di Google maps ci aiutano a percorrere le strade delle nostre città, che quelli di Amazon ci aiutano a scegliere un libro, quelli di Spotify i brani di musica, quelli di Netflix i film preferiti, e così via.

In un certo senso, crediamo negli algoritmi un po’ come ad una magia moderna, senza comprenderli veramente ma intuendoli per il semplice fatto che constatiamo quotidianamente che funzionano e che sono in grado di dirci cosa ci piace e di risolvere i nostri problemi concreti.

Gli algoritmi che usiamo tutti i giorni utilizzano i nostri dati per descrivere la nostra realtà e organizzare il nostro mondo.

Ed Finn ci illustra come nascono gli algoritmi e come si insinuano nella nostra vita, declinandosi nelle più svariate funzioni, nonché i motivi per cui non dobbiamo né demonizzarli, né adorarli, ne aspettarci da loro la soluzione ad ogni nostro male: “possiamo scegliere di interpretare la figura dell’algoritmo come un dio da adorare, oppure possiamo scegliere di vedere un nuovo giocatore, un collaboratore e interlocutore nei nostri giochi culturali”.

Secondo l’Autore, i nostri algoritmi devono essere visti come una grande opportunità per l’uomo per avere al suo fianco un potente alleato, capace – non di sostituirlo ma – di aiutarlo, fornendogli sistemi altamente automatizzati in grado di definire rapidamente riferimenti incrociati e contestualizzare con facilità nuovi campi di ricerca, fornendoci la capacità di generare documenti di ricerca riccamente interconnessi in molteplici livelli e direzioni.

“Che cosa vogliono gli algoritmi” non è un libro che si legge tutto d’un fiato perché alcuni passaggi logici dello sviluppo argomentativo dell’autore, soprattutto nella prima parte, richiedono un certo sforzo di concentrazione ed anche conoscenze specialistiche del calcolo computazionale non facenti parte della cultura generale di ciascuno di noi (circostanza, questa, che mi ha impedito una reale comprensione di alcuni pensieri dell’autore).

Non è, quindi, il libro che vi suggerirei di leggere sotto l’ombrellone nelle prossime – e, spero per voi, imminenti – vacanze estive, ma lo consiglio perché è un libro con una robusta ed approfondita analisi della nostra quotidiana esperienza computazionale, con un messaggio positivo finale circa l’opportunità che l’umanità si trova davanti di ridefinire se stessa, la propria cultura e le proprie interazioni sociali con l’aiuto degli algoritmi.

Anche se potreste non capirlo interamente, è un libro in grado di arricchirvi culturalmente, offrendovi una visione diversa degli algoritmi, lontana dai comuni stereotipi sull’argomento.

Lo trovate in libreria, edito da Einaudi, oppure – è il caso di dirlo? – anche su Amazon

Pubblicato in Digital life, Recensioni | Contrassegnato , , | Lascia un commento

Il cloud come Responsabile del trattamento

Ho letto recentemente un articolo in cui si racconta di come l’Europa sia sempre più propensa a blindare il cloud, quale diretta conseguenza del timore delle aziende europee per una escalation del cyber-rischio per i propri dati.

Da un lato, le aziende si affidano in misura crescente al cloud computing attraverso i grandi fornitori americani e, dall’altro lato, si premuniscono dal rischio della perdita di accesso e di controllo sui dati – o, peggio da quello di sottrazione di segreti industriali o di spionaggio governativo – cifrando il loro patrimonio di informazioni tramite provider europei specializzati in cyber-sicurezza.

È un trend incoraggiato dagli stessi governi e regolatori: in Francia il vice-ministro dell’Economia Agnes Pannier-Runacher ha detto che le imprese che cedono il controllo dei loro dati pongono un “rischio sistemico”, mentre in Germania la Banca centrale ha messo in guardia gli istituti finanziari del paese e dell’Europa intera sulla necessità di un monitoraggio più severo del settore finance perché molti player stanno spostando i dati sul cloud.

In Europa, pertanto, proliferano i cosiddetti intermediari dell’encryption, cioè quelle aziende che vendono prodotti di sicurezza che si interpongono fra i dati di un’organizzazione ed il suo fornitore cloud.

Tale tendenza è favorita anche dalla carente implementazione da parte degli USA di un’adeguata normativa sulla protezione dei dati personali che rispecchi e rispetti i principi sanciti dal GDPR

In attesa che qualcosa si muova sul fronte politico internazionale per allineare i grandi fornitori di servizi cloud made in USA alle regole del GDPR, appare opportuno ricordare come si inserisce, nel contesto del GDPR, il contratto di cloud computing.

E’ noto che una delle principali declinazioni del rapporto tra Titolare del trattamento e Responsabile del trattamento è quella derivante dal contratto di outsourcing, attraverso il quale il Titolare esternalizza alcune attività di trattamento (tipico, ad esempio, è il caso del payroll), mantenendo, però, l’esclusiva prerogativa di determinare le finalità e i mezzi di tale trattamento e con la correlativa contropartita (facoltà/dovere) di vigilare sull’operato del Responsabile.

Come ho già avuto modo scrivere in passato (“GDPR e cloud: attenzione ai contratti“), a questa categoria appartiene anche il contratto di cloud computing dove, però, molto spesso si verifica una situazione di forza contrattuale inversa, dato che il fornitore di servizi cloud (il Responsabile del trattamento) è di norma una grande impresa multinazionale, mentre l’impresa che si avvale del servizio (il Titolare del trattamento) è una realtà imprenditoriale molto più modesta.

In questi casi, è assai improbabile che il Titolare del trattamento possa avere qualche chance di verificare /sorvegliare l’attività del Responsabile, con buona pace per l’effettività del controllo sul Responsabile che viene prescritta dal GDPR.

A tale criticità si possono aggiungere altri due ulteriori elementi di non trascurabile rilevanza:

  • il Titolare che affida i propri dati al Responsabile/cloud provider potrebbe avere grandi difficoltà nello stabilire / verificare dove quest’ultimo elabora, tratta e archivia effettivamente i suoi dati (Paesi Ue o extra UE?);
  • il Responsabile potrebbe designare a sua volta dei sub-Responsabili, che potrebbero collocare i propri data center al di fuori dei confini europei, per contenere i costi, in Paesi terzi che potrebbero anche essere considerati non adeguati.

Fino a che il quadro normativo internazionale resterà così frammentario, è, quindi, sempre più importante non badare esclusivamente al prezzo del servizio di cloud quanto assicurarsi che, nel contratto con il cloud provider, sia perlomeno previsto:

  • l’obbligo del provider di specificare se i dati rimarranno nella sua disponibilità o saranno trasferiti a subfornitori e in quali luoghi fisici sono collocati i server e i data center;
  • l’obbligo del provider al puntuale rispetto delle disposizioni dettate dal GDPR in materia di trasferimento dei dati all’estero;
  • l’impegno del provider a non trattare i dati del cliente in luoghi diversi da quelli dichiarati;
  • l’obbligo del fornitore del servizio ad informare immediatamente il cliente se si modificano cambiamenti nella catena dei subfornitori che possano influire sulle cautele da adottarsi in relazione al trasferimento di dati all’estero;
  • l’impegno del provider a comunicare al Titolare del trattamento, senza ritardo, i dati necessari per permettere a quest’ultimo di rispettare i termini stringenti previsti dal GDPR in relazione all’esercizio dei diritti dell’interessato (accesso, aggiornamento, rettifica, integrazione, opposizione, cancellazione);
  • l’impegno del provider a comunicare immediatamente al Titolare del trattamento qualsiasi violazione dei dati in suo possesso (data breach) per consentire a quest’ultimo di procedere alla notifiche del caso negli stringenti termini previsti dal GDPR.
Pubblicato in Digital life, Privacy, Strumenti per il business | Contrassegnato , , , , | Lascia un commento

Le raccolte punti secondo il Garante

Con il provvedimento del 12 giugno 2019 il nostro Garante ha precisato che per poter partecipare a programmi di raccolte punti, il cliente non deve essere obbligato ad esprimere (anche) il consenso a ricevere pubblicità.

Con questo recente provvedimento, il Garante ha vietato ad una nota marca di pannolini per bambini di svolgere un trattamento dei dati dei clienti ulteriore (con finalità diversa) rispetto a quello originario di raccolta dei nominativi per partecipare a programmi di raccolte punti.

In seguito ad una segnalazione, il Nucleo speciale privacy della Guardia di Finanza aveva, infatti, accertato che la società inviava newsletter promozionali a circa un milione di indirizzi e-mail raccolti e utilizzati senza un valido consenso: “Dal gennaio 2017 ad oggi, per il brand Lines, sono state inviate 8 diverse newsletter all’intera popolazione presente nel databaseper un complessivo invio, in media, di circa duecentomila e-mail promozionali al mese“; inoltre, “dal gennaio 2017 ad oggi, per il brand Pampers, sono state effettuate 11 campagne diverse di newsletter a coloro che hanno manifestato il relativo consenso alla ricezione di campagne promozionaliper un complessivo invio di circa un milione di e-mail promozionali sia nel 2017 sia nel 2018″.

Nei fatti, accadeva che, ai clienti interessati alla raccolta punti, non veniva data la possibilità di esprimere un consenso libero e specifico per le singole finalità di trattamento che la società intendeva svolgere ma, per poter completare la registrazione e aderire al programma di fidelizzazione, i clienti erano obbligati a rilasciare due consensi generici per l’invio di materiale pubblicitario, uno per la società e uno per i marchi collegati

La decisione del Garante in merito alle corrette modalità di gestione delle raccolte punti, si basa sui principi espressi nei seguenti provvedimenti:

  • provvedimento del Garante a carattere generale del 4 luglio 2013, “Linee guida in materia di attività promozionale e contrasto allo spam” (doc. web n. 2542348);
  • provvedimento del Garante a carattere generale del 29 maggio 2003, “Spamming. Regole per un corretto uso dei sistemi automatizzati e l’invio di comunicazioni elettroniche” (doc. web n. 29840);
  • provvedimento del Garante a carattere generale del 19 gennaio 2011 recante “Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l´impiego del telefono con operatore, a seguito dell´istituzione del registro pubblico delle opposizioni” (doc. web n. 1784528);
  • provvedimento del Garante a carattere generale del 15 giugno 2011, riguardante la “Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali” (doc. web n. 1821257)
  • pareri del WP29 n. 4/1997, n. 5/2004, n. 5/2009, n. 1/2010, n. 4/2010, n. 15/2011 e la Raccomandazione n. 2/2001 del medesimo WP29 su determinati requisiti minimi per la raccolta on-line di dati personali nell’Unione europea.

Il Garante non ha fatto applicazione delle norme del GDPR perché, all’epoca, non ancora vigenti ma si è basato sul nostro “vecchio” Codice Privacy (D.lgs. n. 196/2003) nel testo, cioè, vigente prima delle modifiche apportate dal D. lgs. n. 101/2018, ravvisando nella le seguenti criticità:

  1. il primo consenso richiesto per finalità promozionali, con l’invio di newsletter, analisi statistiche, sondaggi d’opinione, è risultato accomunare indistintamente più finalità diverse tra loro, impedendo all’interessato di poter distinguere fra di esse e di fornire il proprio consenso libero e selettivo alle raccolte punti ed all’invio di comunicazioni di carattere commerciale;
  2. il secondo  consenso, cioè quello richiesto agli interessati con riguardo ad altri marchi del gruppo è risultato affetto dal medesimo vizio del primo e, in aggiunta, veniva anche richiesto, come condizione imprescindibile – e, quindi, da selezionare obbligatoriamente – per poter procedere con la registrazione al sito web e, quindi, poter partecipare ai programmi di raccolte punti.

Il Garante ha, pertanto, censurato tale modalità di acquisizione dei consensi degli interessati osservando che “la capacità di autodeterminazione degli interessati (e quindi la libertà del consenso che questi sono chiamati a manifestare) non è assicurata né quando viene richiesto un unico consenso per più diverse finalità di trattamento, né quando si assoggetta, la fruizione di un servizio, qual è il programma di raccolta punti ‒ per le quali peraltro la legge comunque non richiede l’acquisizione di consenso (cfr. art. 24, comma 1, lett. b), del Codice, il cui disposto, ad oggi abrogato, può ritenersi sostanzialmente confermato dall’art. 6, par. 1, lett b), del Regolamento UE) ‒ alla previa autorizzazione a trattare i dati conferiti, ai fini di tale servizio, per finalità diverse, qual è quella promozionale o quella statistica. Ciò, con la conseguenza che i dati raccolti dal titolare per l’erogazione del servizio vengono di fatto piegati ad una finalità diversa da quella che ne ha giustificato la raccolta, in violazione, dunque – oltre che del principio del consenso di cui all’art. 23, commi 1 e 3, del Codice – anche dei principi di correttezza e finalità del trattamento dei dati personali già sanciti dall’art. 11, comma 1, lett. a) e b), del Codice e ribaditi dall’ art. 5, par. 1, lett. a) del Regolamento UE“.

Il principio espresso dal Garante è certamente un caposaldo della materia ed oggi è espresso, in modo chiaro, all’art. 7 del GDPR secondo il quale il consenso si intende liberamente prestato solo quando la prestazione del servizio sottesa alla richiesta di consenso non è condizionata dal rilascio di consensi al trattamento di dati personali non necessari all’esecuzione della stessa, dovendo rispettare il principio di specificità, inequivocabilità e granularità degli stessi.

Pubblicato in Digital life, Ecommerce, Privacy | Contrassegnato , , , , | Lascia un commento

Un caso emblematico di social engineering

E’ di pochi giorni fa la notizia dell’incredibile perdita di 18 milioni di Euro da parte della multinazionale Maire Tecnimont per una truffa ordita mediante una tipica strategia di social engineering.

In alcuni miei precedenti articoli ho già illustrato le ragioni per le quali il social engineering è, nell’ambito delle tematiche di sicurezza informatica, una delle pratiche più insidiose da contrastare dato che coinvolge sia aspetti tecnologici sia il comportamento individuale delle persone

Quando spiego, nel corso degli incontri di formazione presso le aziende, quali siano le casistiche più comuni di social engineering, le persone mi ascoltano con lo sguardo tipico di chi pensa “ma chi vuoi che ci caschi“.

Eppure, le pratiche di social engineering esistono, prosperano e non vanno sottovalutate, come ha – purtroppo – sperimentato sulla propria pelle il management del Gruppo multinazionale Tecnimont.

Qualcuno, sostituendosi ai vertici aziendali e utilizzando mail molto simili a quelle reali (in un caso è stato usato un indirizzo email con un carattere diverso), ha ordinato, in due distinti momenti, ai manager del gruppo Tecnimont di effettuare bonifici milionari per presunte acquisizioni segrete o restituzione di finanziamenti, per un valore di circa 18 milioni di Euro

Nella seconda truffa, in particolare, una email, apparentemente inviata il 13 novembre 2018 dall’Amministratore Delegato di Tecnimont, aveva ordinato al capo della controllata indiana del gruppo di effettuare tre bonifici all’estero per complessivi 18,6 milioni di euro, affermando che tali fondi sarebbero stati necessari per completare un’acquisizione segreta di cui non si sarebbe dovuto parlare con nessuno, eccezion fatta per un presunto Avvocato di Ginevra.

Naturalmente, questo presunto legale, contattato sia tramite email sia per telefono, era del tutto inventato, ma il capo della controllata indiana si è convinto ad eseguire tre bonifici su conti correnti in Cina. La truffa è stata scoperta dal vero Presidente di Tecnimont solo nove giorni dopo, durante un viaggio in India, quando è stato messo a conoscenza della fantomatica acquisizione segreta!

Tecnimont è stata vittima di un tipico caso di social engineering definito “truffa del CEO”.

La truffa del CEO è un raggiro che unisce attacco cibernetico e ingegneria sociale, piuttosto insidioso per le multinazionali e che avviene in questo modo:

  • un soggetto si finge una figura preminente nell’organigramma della società e chiama al telefono una figura contabile all’interno della filiale locale, chiedendo di effettuare un pagamento;
  • la telefonata ha due caratteristiche chiave: l’urgenza e la confidenzialità;
  • il contabile locale si lascia convincere e fa partire il denaro sul conto richiesto; la somma transita spesso dalla Cina ma finisce, poi, ovunque nel mondo e diviene impossibile da recuperare.

Per ricostruire l’organigramma societario e poter risultare credibili, i truffatori spesso cercano informazioni sulla vittima da raggirare utilizzando i social network, alla ricerca di una figura che abbia accesso alle operazioni bancarie del gruppo.

Per difendersi da questo tipo di attacco, occorre programmare un’adeguata formazione all’interno dell’azienda, affinché il personale, soprattutto quello più esposto a questa tipologia di rischio, abbia conoscenze adeguate per riconoscere di essere di fronte ad una strategia di social engineering e possa disinnescare efficacemente la minaccia, attraverso un sano atteggiamento di scetticismo.

E’, quindi, importante che il personale venga istruito, a livello generale, a

  • diffidare da email o telefonate non richieste o inusuali da persone che chiedono informazioni su dipendenti o riguardo l’azienda (anche finanziarie), documentandosi previamente su chi sia l’interlocutore e verificandone l’effettiva identità;
  • non diffondere informazioni strategiche in rete senza verificare il livello di sicurezza e attendibilità del sito;
  • controllare sempre la URL dei siti web e gli indirizzi di posta elettronica;
  • evitare, naturalmente, di aprire allegati o file eseguibili di dubbia provenienza;
  • informare tempestivamente gli amministratori di rete e i responsabili IT di eventuali anomalie o casi dubbi;
  • se sono state comunicate delle password, cambiarle su tutti gli account in cui viene usata la medesima combinazione.

Questa specifica attività di formazione rientra, oltretutto, a pieno titolo, anche tra le misure di sicurezza che l’art. 32 del GDPR prescrive in capo ai Titolari del trattamento (o ai loro DPO, laddove presenti).

Pubblicato in Digital life, Strumenti per il business | Contrassegnato , , | Lascia un commento

Informativa omessa e consensi assenti? Sanzione da oltre 2 milioni.

Diversamente da quanto ci si poteva attendere dopo i clamori suscitati dalle sanzioni milionarie previste dal GDPR, è passata piuttosto in sordina la notizia della ragguardevole sanzione (oltre 2 milioni di Euro) comminata dal nostro Garante ad una società che aveva svolto, tramite un call center estero, attività di telemarketing e teleselling per conto di una azienda del settore energetico, in violazione della normativa sulla protezione dei dati personali, omettendo l’informativa da rendere agli interessati.

Probabilmente la notizia non ha avuto il dovuto risalto perché la sanzione è stata comminata ai sensi della previgente normativa: il verbale di contestazione è, infatti, di solo pochi giorni (15 maggio 2018) antecedente all’entrata in vigore del GDPR.

Il caso è il seguente.

In seguito ad un’ispezione del Nucleo speciale privacy della Guardia di Finanza, è stato accertato che la società sanzionata:

  • non aveva reso alcuna informativa alle persone contattate;
  • non aveva richiesto agli interessati, come invece era prescritto già prima dell’entrata in vigore del GDPR, il consenso alla raccolta dei dati personali ed al trattamento degli stessi per finalità di marketing.

Sulla base di asseriti accordi intercorsi con l’agente di vendita del gestore di energia, la società sanzionata aveva incaricato il call center estero di contattare telefonicamente potenziali clienti, utilizzando numerazioni telefoniche raccolte dal call center stesso, senza che la lista dei contatti fosse stata fornita o validata da alcuna delle tre aziende coinvolte nella campagna promozionale.

La lettura del provvedimento del Garante (il cui testo integrale è reperibile cliccando qui), è interessante perché emerge che:

  1. l’ispezione è avvenuta a seguito della segnalazione di due interessati;
  2. il Garante ha qualificato la società condannata come autonomo titolare del trattamento, dato che “ha operato in assenza di specifiche designazioni a responsabile del trattamento”, ma non ha fornito l’informativa agli interessati;
  3. il Garante ha applicato una sanzione amministrativa per ogni violazione (155 contratti senza aver acquisito il consenso alla raccolta ed al trattamento dei dati ai fini di marketing);
  4. la sanzione è stata quantificata nella complessiva misura di 2.018.000,00 Euro sulla base del fatto che le condotte accertate e contestate sono state ritenute gravi perché “sono state poste in essere in un quadro di marcato disinteresse della complessiva normativa in materia di protezione dei dati personali e di superficiale sottovalutazione delle gravi implicazioni derivanti dall’utilizzo di forme di acquisizione della clientela improntate all’informalità e alla unilaterale semplificazione del quadro degli adempimenti formali prescritti dalla normativa“.

Il Garante ha, infatti, accertato che, dopo il primo contatto da parte del call center tramite liste di utenti in suo possesso, le persone che avevano manifestato l’interesse a sottoscrivere un contratto, venivano richiamate dall’agente di vendita, il quale provvedeva ad acquisire la conferma dell’interesse del cliente ed a predisporre il testo del contratto di fornitura che veniva, poi, inoltrato alla società cliente che, infine, avrebbe effettivamente stipulato il contratto di fornitura.

In tutto questo percorso, l’attività di telemarketing e teleselling avveniva senza alcun rispetto sia dell’obbligo di informativa gravante sul Titolare del trattamento, sia delle norme poste a presidio della legittimità della raccolta dei dati per finalità di marketing, dato che l’operatore non si premuniva di ottenere alcun consenso da parte dell’interessato.

Data la generalizzata noncuranza della società in relazione ai suddetti adempimenti, il Garante ha ritenuto di comminare una sanzione commisurata al numero di violazioni accertate per singolo interessato, in quanto è stato ravvisato “un marcato disinteresse” nel suo complesso alla normativa in materia di protezione dei dati.

Un segnale a mio avviso importante per tutti coloro che, anche oggi, nell’epoca del ben più rigoroso Regolamento Europeo, continuano a chiedermi, con toni a volte anche un po’ irridenti e sarcastici, “ma a cosa servirà mai, poi, questa privacy?”

Pubblicato in Digital life, Ecommerce, Privacy | Contrassegnato , , , , | Lascia un commento

Droni: istruzioni dai Garanti Europei

I droni sono ormai parte integrante della nostra quotidianità ma la conoscenza delle regole che presiedono al loro uso non è molto diffusa e gli abusi sono, di fatto, all’ordine del giorno.

Sul territorio italiano la circolazione dei droni è disciplinata dal Regolamento ENAC (Edizione 2 del 16 luglio 2015 con i successivi emendamenti, l’ultimo dei quali, il quarto, è del 21 maggio 2018) che distingue l’uso a scopo ludico (che può essere praticato solo fuori dai centri abitati) e l’uso a scopo professionale (che può avvenire anche in centri abitati purché il pilota abbia un apposito brevetto ed il mezzo sia assicurato con specifici massimali).

A livello europeo, è da non molto in vigore il Regolamento UE 2018/1139 del 4 luglio 2018 (rinvenibile anche sul sito dell’ENAC) recante norme comuni nel settore dell’aviazione civile, che istituisce un‘Agenzia dell’Unione europea per la sicurezza aerea e che modifica i Regolamenti (CE) n. 2111/2005, (CE) n. 1008/2008, (UE) n. 996/2010, (UE) n. 376/2014 e le Direttive 2014/30/UE e 2014/53/UE del Parlamento europeo e del Consiglio, abrogando anche i Regolamenti (CE) n. 552/2004 e (CE) n. 216/2008 del Parlamento europeo e del Consiglio e il Regolamento (CEE) n. 3922/91 del Consiglio.

Per quanto riguarda i diritti dei singoli cittadini e, in particolare, l’utilizzo delle immagini di persone catturate dai droni in volo, il nostro Garante ha da qualche tempo pubblicato un’infografica con la quale ha inteso spiegare, in modo conciso, che, chi fa volare a fini ricreativi un drone munito di fotocamera in un luogo pubblico (parchi, strade, spiagge) deve, in ogni caso, evitare di invadere gli spazi personali e l’intimità delle persone.

Il Garante ha, inoltre, ribadito un concetto che pare scontato, ma che, purtroppo, alla luce di quel che si vede ogni giorno, non lo è poi molto: la diffusione di riprese realizzate con droni (sul web, sui social media, in chat) può avvenire solo con il consenso dei soggetti ripresi, fatti salvi particolari usi connessi alla libera manifestazione del pensiero, come quelli a fini giornalistici.

Negli altri casi, quando è eccessivamente difficile raccogliere il consenso degli interessati, è possibile diffondere le immagini solo se i soggetti ripresi non sono riconoscibili perché ripresi da lontano o perché si sono utilizzati appositi software per oscurare i loro volti. Occorre, inoltre, evitare di riprendere e diffondere immagini che contengano dati personali quali targhe di macchine, indirizzi di casa, etc..

Le riprese che violano gli spazi privati altrui (casa, giardino domestico) sono invece sempre da evitare, anche per le conseguenze penali connesse a questo tipo di riprese.

Il nostro Garante invita, inoltre, gli utilizzatori di droni a fare in modo che il pilota sia sempre ben visibile, così da non suscitare sospetti o allarme negli altri e consentendo all’interessato di chiedere informazioni su come si intendono utilizzare le riprese ed eventualmente negare il consenso al trattamento dei dati raccolti.

L’Autorità Spagnola di protezione dei dati (AEPD) ha fatto anche meglio del nostro Garante, pubblicando il 30 maggio 2019 un’apposita Guida all’utilizzo dei droni di ben 16 pagine (“Drones y protecciòn de datos” che trovate nella sezione “documenti utili” del blog).

L’AEPD distingue tre tipologie di attività con i droni con possibili impatti sui dati personali degli individui ai sensi del GDPR (Regolamento UE 679/2016):

  1. operazioni con droni che non implicano di per sé il trattamento di dati personali e senza alcun rischio di trattamento : questa categoria è costituita dagli utilizzi ricreativi e ad uso domestico. In questi casi, l’AEPD rivolge lo stesso invito del nostro Garante di non pubblicare su internet immagini o video di persone identificabili, senza il consenso degli interessati;
  2. operazioni con droni che non implicano di per sé il trattamento di dati personali ma che possono, per motivi occasionali e/o accidentali, implicare un qualche trattamento non intenzionale di dati: si collocano in questa categoria gli utilizzi per ispezioni aeree, video da utilizzare per il cinema, la pubblicità, etc.. In questi casi, vi è il rischio che, nel sorvolare un’area, vengano accidentalmente catturate immagini di persone o cose (ad esempio, targhe automobilistiche) che, incrociate con altri dati, possano portare ad individuare persone determinate. In questi casi, l’AEPD suggerisce di sorvolare le aree nelle ore di minor presenza di persone, minimizzare la registrazione alle sole immagini realmente necessarie, ridurre la risoluzione e la granularità della geolocalizzazione, proteggere le trasmissioni dei droni con tecniche di cifratura, cancellare i dati una volta non più necessari;
  3. operazioni con droni che implicano necessariamente il trattamento di dati personali: in questa tipologia si collocano le attività di videovigilanza, registrazione di eventi pubblici, etc.. In questi casi si applica pacificamente la disciplina del GDPR e, pertanto, l’AEPD chiarisce che se il trattamento viene effettuato dal pilota del drone su incarico di un committente, quest’ultimo sarà da considerare il titolare del trattamento e su di lui incombono i doveri di informazione degli interessati con l’obbligo di individuare la base giuridica del trattamento e di stipulare l’accordo previsto dall’art. 28 del GDPR con chi pilota il drone. In ogni caso, il titolare del trattamento dei dati raccolti tramite i droni dovrà rispettare tutti i principi generali sanciti dal GDPR, tra i quali, individuare il miglior modo per informare gli interessati dei loro diritti sui dati acquisiti, adottare tutte le precauzioni affinché la raccolta dei dati sia lecita, adeguatamente sicura, ridotta al solo necessario. Anche l’AEPD ritiene, inoltre, importante che il pilota sia sempre individuabile e identificabile dagli interessati affinché nei suoi confronti possano esercitarsi i diritti di controllo garantiti dal GDPR in capo agli interessati.

Merita, infine, una menzione anche l’ultima parte del documento dell’AEPD, dove l’Autorità Spagnola identifica una serie di ipotesi nelle quali l’utilizzo dei droni può richiedere una preventiva valutazione di impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 GDPR e l’ultima sezione dedicata alle FAQ.

Pubblicato in Digital life, Privacy, Tecnologia per il business | Contrassegnato , , , | Lascia un commento

Data breach: indicazioni dal Garante

Il nostro Garante per la Protezione dei Dati Personali è tornato ad occuparsi di data breach.

Nella sua newsletter del 30 maggio 2019, il Garante ha, infatti, richiamato il principio espresso in relazione ad un recente provvedimento pronunciato a seguito di un evento di data breach, notificato ai sensi dell’art. 33 GDPR, da un importante fornitore nazionale di servizi di posta elettronica, il quale ha informato l’Autorità di aver subìto la violazione di circa un milione e mezzo di caselle di posta elettronica di propri utenti.

Con il suddetto provvedimento, il Garante ha ribadito che le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità.

Il Garante ha, in particolare, imposto alla società di effettuare una nuova comunicazione sul data breach, nella quale vi sia:

  • una chiara descrizione della natura della violazione e delle sue possibili conseguenze, come previsto dall’art. 34, comma 2 del GDPR, che stabilisce che “la comunicazione all’interessato (…) descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni di cui all’articolo 33, paragrafo 3, lettere b), c) e d)” ;
  • una precisa indicazione agli utenti sugli accorgimenti da adottare per evitare ulteriori rischi, spiegando, ad esempio, che non devono essere più utilizzate le credenziali compromesse e che è necessario modificare la password violata anche per quegli altri servizi on-line in cui l’utente utilizza password uguali o simili.

Le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679″del WP29 per la Protezione dei Dati del 3 ottobre 2017 – modificate e adottate il 6 febbraio 2018 e fatte proprie dal EDPB il 25 maggio 2018 – prevedono, infatti, che il Titolare del trattamento, tra le misure da adottare per far fronte alla violazione e attenuarne i possibili effetti negativi per gli interessati, “dovrebbe anche fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione”, per consentire agli utenti di attuare efficaci azioni di protezione.

Nella fattispecie, la società aveva dichiarato al Garante che, da alcune analisi tecniche, era emerso un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail.

Per contenere le possibili conseguenze del data breach la società immediatamente imposto agli utenti di reimpostare la password e aveva predisposto una pagina apposita sul proprio sito per informare della violazione, in attesa di inviare una email a tutti agli interessati colpiti dal data breach.

L’email era stata, poi, effettivamente inviata ai sensi dell’art. 34 GDPR ma, da quanto appurato dal Garante nel corso di un’ispezione, il suo contenuto è risultato carente perché l’evento di data breach veniva descritto come “attività anomala sui sistemi”.

Inoltre, le comunicazioni erano state inviate alle stesse caselle di posta elettronica le cui credenziali di autenticazione erano state oggetto di violazione e tale circostanza è stata considerata rilevante perché potenzialmente in grado di inficiare l’efficacia della comunicazione stessa, dato che poteva non aver raggiunto i reali utilizzatori delle caselle di posta elettronica.

Ancora, a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, dato che la comunicazione della società assumeva che il cambio di password aveva reso inutilizzabili le credenziali precedenti; a chi, invece, non aveva provveduto alla modifica si suggeriva solamente di cambiare la password per “eliminare il rischio di accesso indesiderato alla casella mail”.

Queste informazioni sono state ritenute insufficienti dal Garante, a fronte dei possibili gravi rischi ai quali sono stati esposti gli utenti, tenuto conto, appunto, dei criteri espressi dalle sopra citate  “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679″ che individuano i fattori da considerare nella valutazione del rischio conseguente ad una violazione dei dati personali, in: tipo di violazione; natura, carattere sensibile e volume dei dati personali; facilità di identificazione delle persone fisiche; gravità delle conseguenze per le persone fisiche; caratteristiche particolari dell’interessato; caratteristiche particolari del titolare del trattamento dei dati; numero di persone fisiche interessate.

Non sembra, invece, che alla società siano state contestate violazioni in ordine al rispetto dei criteri di sicurezza previsti dall’art. 32 GDPR.

Pubblicato in Privacy, Strumenti per il business | Contrassegnato , , , , | Lascia un commento

1 anno di GDPR: il video dell’EDPB

Il 25 maggio 2019 il GDPR compie il suo primo anno di vita e l’European Data Protection Board (EDPB) ha dedicato alla ricorrenza un video di due minuti dal titolo: “1 year ago, the GDPR entered into application, but what has changed for you?”

Potete vedere il video sul sito istituzionale dell’EDPB cliccando qui.

Il video cerca di spiegare, in uno spazio di tempo brevissimo, quali sono i cambiamenti che il GDPR sta portando nelle vite di ciascuno di noi e quale sia il ruolo dell’EDPB nel difficile compito di proteggere i dati personali dei cittadini Europei.

Pubblicato in Privacy, Strumenti per il business | Contrassegnato , | Lascia un commento

Il nuovo “Manuale” dell’Europa sulla protezione dei dati

L’Agenzia dell’Unione europea per i diritti fondamentali (FRA) con sede a Vienna, nell’ambito dei suoi compiti di consulenza in materia di diritti fondamentali, ha recentemente pubblicato la seconda edizione del “Manuale sul diritto europeo in materia di protezione dei dati” (trovate il Manuale, nel testo integrale in italiano, nella sezione “Documenti utili” del blog).

Il Manuale fornisce una panoramica generale dei quadri giuridici applicabili all’interno dell’Unione europea e del Consiglio d’Europa, aggiornata al Regolamento UE 2016/679 (GDPR) ed al Protocollo di aggiornamento della Convenzione 108 del 1981.

Si tratta di un volume molto corposo di ben 444 pagine e, come specificato nelle sue premesse, “intende fornire un primo punto di riferimento per quanto riguarda il pertinente diritto dell’UE e la Convenzione europea dei diritti dell’uomo (CEDU)
nonché la Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (Convenzione n. 108) e altri
strumenti del Consiglio d’Europa”
.

Il Protocollo alla Convenzione 108 sulla protezione degli individui rispetto al trattamento automatizzato dei dati personali è stato adottato il 18 maggio 2018 per adeguare il testo originario all’avvento delle nuove tecnologie e l’adesione al medesimo costituisce uno dei requisiti che vengono tenuti in considerazione nella valutazione di adeguatezza dei Paesi nel trasferimento dei dati, in quanto prevede:

  • principi per il rafforzamento degli obblighi di trasparenza a carico dei Titolari del trattamento;
  • l’ampliamento dei diritti degli interessati, con il diritto a non essere soggetto a decisioni puramente automatizzate e a conoscere la logica del trattamento;
  • maggiori garanzie per la sicurezza dei dati, incluso l’obbligo di notificare i data breach e di assicurare un approccio di privacy by design.

Ogni capitolo del Manuale inizia con una tabella che individua le disposizioni giuridiche relative agli argomenti trattati, con riferimento al diritto sia del Consiglio d’Europa sia dell’UE e individua una selezione della giurisprudenza della Corte europea dei diritti dell’uomo (Corte EDU) e della Corte di giustizia dell’Unione europea (CGUE).

Successivamente, vengono proposte due presentazioni distinte, una di seguito all’altra, del diritto dei due ordinamenti, nella versione attualmente applicabile a ciascuna tematica, così da evidenziare le convergenze e le divergenze dei due sistemi giuridici. Il Manuale fornisce anche una breve panoramica del quadro delle Nazioni Unite.

Nel Manuale, il diritto del Consiglio d’Europa è presentato attraverso brevi riferimenti a una selezione di cause della Corte EDU, scelte tra le numerose sentenze e decisioni pronunciate dalla Corte in materia di protezione dei dati.

Per quanto riguarda il diritto dell’Unione Europea, il Manuale comprende, invece, le misure legislative adottate, le pertinenti disposizioni dei Trattati e della Carta dei diritti fondamentali dell’Unione Europea, come interpretate nella giurisprudenza della CGUE, oltre a pareri e orientamenti adottati dal Gruppo di lavoro Articolo 29 (WP29), oggi sostituito, come noto, dal Comitato Europeo per la Protezione dei Dati (EDPB).

Sono inclusi nel Manuale anche i pareri del Garante Europeo della protezione dei dati, vista la rilevanza che rivestono nell’interpretazione del diritto della UE.

L’intento di fare del Manuale un valido strumento pratico di consultazione per tutti coloro che hanno necessità di confrontarsi con le diverse legislazioni, è stato perseguito anche tramite la predisposizioni di appositi riquadri con fondo blu, contenenti esempi pratici relativi a casi ipotetici, finalizzati ad illustrare l’applicazione pratica delle norme europee in materia di protezione dei dati, soprattutto per quelle situazioni dove non esiste (ancora) una specifica giurisprudenza in materia.

Il lavoro svolto dall’Agenzia è davvero impressionante per quantità di fonti tenute in considerazione e qualità del lavoro profuso, spaziando in modo ampio e integrato sui seguenti argomenti:

  1. terminologia della protezione dei dati;
  2. principi fondamentali del diritto europeo in materia di protezione dei dati;
  3. norme del diritto europeo sulla protezione dei dati;
  4. controllo indipendente;
  5. diritti degli interessati e loro attuazione;
  6. trasferimenti e flussi transfrontalieri di dati personali;
  7. protezione dei dati in ambito di polizia e giustizia penale;
  8. altre norme europee di protezione dei dati europee in settori specifici (comunicazione elettroniche, dati relativi ai rapporti di lavoro, dati sanitari, dati finanziari);
  9. attuali sfide nella protezione dei dati personali (megadati, algoritmi, IA, social network e IoT, web 2.0 e 3.0).

Il nostro Garante per la protezione dei dati personali ha collaborato alla realizzazione della versione italiana che, come già detto, trovate nella sezione del Blog dedicata ai “documenti utili” .

Buona consultazione!

Pubblicato in Digital life, Privacy, Recensioni, Strumenti per il business | Contrassegnato , , , | Lascia un commento

L’importanza delle istruzioni del Titolare

L’art. 29 del GDPR si occupa delle istruzioni del Titolare del trattamento e stabilisce uno dei più importanti principi del Regolamento UE sulla protezione dei dati: “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal Titolare del trattamento” (salvo che lo richieda il diritto dell’Unione o degli Stati membri).

Il principio di accountability trova uno dei suoi principali fondamenti in tale disposizione normativa che ribadisce, innanzitutto, che è il Titolare del trattamento – e solo lui – a determinare finalità e mezzi del trattamento dei dati, sia che tali trattamenti siano effettuati dal Titolare stesso, oppure dai suoi dipendenti o, infine, da uno o più Responsabili del trattamento.

Il Titolare deve sempre curare di dare adeguate istruzioni, tecniche ed organizzative, sia ai propri dipendenti sia ai terzi all’esterno della propria organizzazione, che trattano i suoi dati, affinché siano salvaguardati i principi di protezione dei dati fin dall’origine e per impostazione predefinita previsti dal GDPR.

Le istruzioni del Titolare costituiscono un requisito indispensabile per individuare le diverse posizioni e le correlate responsabilità, nel trattamento dei dati, dei singoli – Titolare, dipendenti, Responsabili del trattamento – perché permettono di individuare quali siano i compiti di ciascuno ed i connessi limiti entro i quali ciascun soggetto può e deve operare.

E’ facilmente comprensibile, pertanto, che certi accordi ex art. 28 GDPR, redatti in modo assolutamente generico o contenenti pacchetti di “istruzioni omnibus“, valevoli per qualsiasi tipologia di trattamento, difficilmente potranno ambire di svolgere il ruolo che gli dovrebbe essere proprio.

Ma chi sono i soggetti cui il Titolare deve dare chiare e precise istruzioni?

Sono, innanzitutto, i soggetti esterni all’organizzazione dell’imprenditore, che svolgono per conto dello stesso prestazioni strumentali e subordinate alle scelte del primo, il più delle volte in virtù di un contratto (di fornitura, di consulenza, di partnership, etc.).

Questi soggetti sono definiti, come noto, Responsabili del trattamento e si caratterizzano proprio per il fatto che ricevono – devono ricevere – istruzioni chiare e precise da parte del Titolare, che in tal modo delimita i loro poteri nel trattamento dei dati dell’interessato.

E’, inoltre, appena il caso di ricordare che le istruzioni che il Titolare dà al Responsabile non devono rimanere segregate nel cassetto del Responsabile dove viene riposto l’Accordo richiesto dall’art. 28 GDPR, ma devono essere diffuse, rese conoscibili e, anzi, fatte doverosamente conoscere dal Responsabile anche ai propri dipendenti e ai propri sub-responsabili.

In secondo luogo, il Titolare deve impartire chiare e precise istruzioni anche ai propri dipendenti, definendo anche al proprio interno chi può trattare i dati, con che finalità, con che ampiezza, adottando quali misure di protezione, etc.

Corollario evidente dell’obbligo del Titolare di dare le istruzioni indispensabili ai propri sottoposti (interni e/o esterni che siano) è il correlativo obbligo di controllare periodicamente che le proprie istruzioni siano osservate , dovendo, infatti, verificare che le categorie di dati trattati e le operazioni che vengono eseguite si attengano scrupolosamente al rispetto dei parametri di liceità stabiliti dal Titolare stesso ed ai limiti imposti da quest’ultimo.

Nel caso, poi, di situazioni di contitolarità del trattamento – quando, cioè, più Titolari determinano congiuntamente le finalità e i mezzi del trattamento – ciascuno dei contitolari dovrà, in ogni caso, dare le proprie specifiche istruzioni ai propri sottoposti, in funzione delle specifiche competenze che gli stessi contitolari si sono assegnate con l’accordo di contitolarità, pur all’interno di scopi e finalità che sono comuni a tutti loro.

Appare, inoltre, quasi superfluo ricordare che i controlli periodici hanno una duplice finalità:

  • verificare il rispetto delle istruzioni date;
  • aggiornare tali istruzioni, in funzione, ad esempio, dell’evoluzione tecnologica o dei mutamenti organizzativi dell’imprenditore che possano aver introdotto nuovi trattamenti o una diversa esposizione di rischio per gli interessati.

Le istruzioni del Titolare del trattamento sono, quindi, uno dei principali pilastri su cui si regge il sistema preventivo di protezione dei dati personali modellato dal GDPR che, infatti, sanziona la mancata osservanza da parte del Titolare dell’obbligo di fornire istruzioni precise e di verificarle nel tempo con la sanzione amministrativa pecuniaria fino a 10 milioni di Euro (o 2% del fatturato annuo), oltre, naturalmente, ad esporre il Titolare alle azioni degli interessati volte all’ottenimento del risarcimento del danno in base a quanto prevede l’art. 82 GDPR.

Tutti i fabbricanti ed utilizzatori di modelli prestampati di accordi ex art. 28 GDPR sono avvisati.

Pubblicato in Privacy, Strumenti per il business | Contrassegnato , , , , , | Lascia un commento

L’accountability del Titolare del trattamento

L’art. 24 del GDPR prevede che il Titolare del trattamento metta in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare (c.d. principio di accountability) che il trattamento dei dati personali è effettuato – tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche – in conformità a quanto previsto dal Regolamento”.

La norma impone, quindi, l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione delle misure di protezione descritte dal GDPR nel suo complesso.

Questo approccio costituisce il vero e proprio cambiamento culturale rispetto al passato, dato che il GDPR incoraggia i Titolari del trattamento a cambiare mentalità, facendo fare un salto di qualità ai principi già espressi, a suo tempo, dal WP29 (“Opinion 3/2010 on the principle of accountability) e, prima ancora, dall’OCSE, nelle proprie Privacy Guidelines, dove già era presente, in versione embrionale, il nucleo centrale del principio di responsabilizzazione basato su un sistema di protezione dei dati personali fondato sulla valutazione preventiva dei rischi.

Si può, in linea generale, affermare che il Titolare del trattamento “accountable” è quel soggetto che, nell’adottare le proprie misure di sicurezza, ha tenuto conto:

  • del contesto in cui opera;
  • delle specifiche circostanze in cui avviene il trattamento dei dati.

Ciò significa, in particolare, che il Titolare del trattamento deve individuare attentamente:

  • i processi;
  • le attività;
  • le misure tecniche ed organizzative;
  • le sanzioni e gli obblighi gravanti sul medesimo.

E’ indubitabile che lo strumento chiave su cui si fonda il principio di responsabilizzazione sancito dal GDPR sia il Registro delle attività di trattamento previsto dall’art. 30, che deve essere redatto, monitorato ed aggiornato periodicamente secondo criteri uniformi che ne garantiscano la coerenza strutturale e funzionale, anche in un’ottica ispettiva, consentendo un corretto ciclo di gestione degli adempimenti previsti dalla normativa.

Sotto questo profilo, un software in grado di tenere adeguatamente traccia, nel tempo, dei cambiamenti verificatisi nelle procedure aziendali destinate al trattamento dei dati, degli asset coinvolti nel trattamento e delle misure di sicurezza adottate a protezione dei dati personali degli interessati, è certamente in grado di garantire il principio di accountability in modo più efficace di un semplice file excel statico.

Conformarsi correttamente al principio di accountability consente, oltretutto, di accrescere nel tempo la fiducia degli interessati che entrano in contatto con tale azienda, dato che costoro potranno verificare in qualunque momento di essere garantiti in misura massima delle misure di protezione poste in essere dal Titolare del trattamento in relazione ai dati personali che li riguardano.

Benché lo scetticismo al riguardo sia ancora di molti, vista in questa prospettiva, l’accountability non è più percepita come un (mero) costo ma come una risorsa ed un’opportunità: un corretto approccio basato sul principio di dimostrabilità delle misure di protezione adottate, permetterà, infatti, al Titolare del trattamento di adottare metodi e pratiche efficaci in grado di soddisfare al meglio le esigenze di sicurezza desiderate, in primis, dai propri clienti, con ritorni economici e di immagine positivi e probabilmente anche significativi in termini quantitativi.

Pubblicato in Digital life, Privacy | Contrassegnato , , , , | Lascia un commento

Riflessioni sul Responsabile del trattamento

La figura del Responsabile del trattamento disciplinata dall’art. 28 del GDPR è generalmente nota, benché a volte possa ancora capitare di vederla confusa con il vecchio ruolo, di natura organizzativa interna, previsto dal nostro previgente Codice Privacy oppure, più incomprensibilmente, con il Responsabile della Protezione dei Dati (RPD o, come preferisco, DPO) previsto dall’art. 37 del Regolamento UE.

Nella pratica quotidiana, mi capita di constatare che il rapporto tra Titolare del trattamento e Responsabile del trattamento subisca, a livello contrattuale, compressioni e forzature di varia natura e genere, il più delle volte in conseguenza di rapporti di forza sbilanciati tra le parti.

Vediamo, innanzitutto, cosa prevede la normativa di riferimento.

Secondo l’art. 28 GDPR, “qualora un trattamento debba essere effettuato per conto del Titolare del trattamento, quest’ultimo ricorre unicamente a Responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente Regolamento e garantisca la tutela dei diritti dell’interessato”.

Il Responsabile del trattamento è, quindi, colui che, con una discrezionalità più o meno ampia nelle modalità di svolgimento dell’incarico, persegue le finalità di trattamento definite dal Titolare.

I trattamenti di dati personali del Titolare da parte di un Responsabile del trattamento sono disciplinati normalmente da un contratto vincolante per quest’ultimo (che nella prassi viene spesso definito, impropriamente, con l’espressione “atto di nomina”) all’interno del quale si preveda, perlomeno, che il Responsabile:

  1. tratti i dati personali soltanto su istruzione documentata del Titolare del trattamento;
  2. garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  3. adotti tutte le misure richieste dall’art. 32 GDPR;
  4. rispetti determinati criteri, indicati nei paragrafi 2 e 4 dell’art. 28, per nominare un altro Responsabile;
  5. assista il Titolare del trattamento con misure tecniche ed organizzative adeguate;
  6. assista il Titolare del trattamento negli obblighi di cui agli articoli 32 – 36 GDPR;
  7. su richiesta del Titolare, cancelli o restituisca tutti i dati personali al termine del proprio servizio;
  8. metta a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti a suo carico, consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del trattamento o da un altro soggetto da questi incaricato;
  9. informi immediatamente il Titolare del trattamento qualora un’istruzione violi il Regolamento o altro atto normativo;
  10. imponga i medesimi obblighi di cui sopra ai Responsabili del trattamento dai lui nominati (i cosiddetti “Sub-responsabili“).

Da questo dettagliato elenco di cui sopra si evince chiaramente che il GDPR è intervenuto significativamente sulla disciplina del Responsabile – la cui caratteristica essenziale è la strumentalità della sua attività rispetto ai fini del Titolare – attribuendogli maggiore rilevanza esterna e maggiore responsabilità.

Ciò che, però, spesso viene trascurato (o, forse, anche ignorato) nella pratica quotidiana è che, sebbene la norma del Regolamento preveda che il Titolare designi il proprio Responsabile con un atto scritto nel quale vengano definite dettagliatamente le attività che deve compiere, per poter attribuire ad un soggetto il ruolo di Responsabile occorre esaminare le concrete attività condotte da quest’ultimo, con l’effetto che:

  • qualora il Responsabile, anche se designato per iscritto dal Titolare, esorbiti dai compiti assegnatigli e tratti i dati per fini o con mezzi diversi da quelli indicati dal Titolare, diviene a sua volta Titolare o contitolare del trattamento;
  • la qualificazione, anche tramite contratto, di un soggetto come Titolare del trattamento dei dati non è elemento sufficiente ad escludere che questo soggetto tratti i dati per conto di un altro soggetto e, quindi, nella sostanza, si atteggi come suo Responsabile.

Nel rapporto tra Titolare e Responsabile del trattamento prevale, quindi, la sostanza sulla forma, come, d’altra parte, già da tempo aveva chiarito il nostro Garante della Protezione dei dati personali sotto la vigenza della precedente normativa.

Nel provvedimento del 29 aprile 2009 il Garante è intervenuto in alcuni casi di disservizi del sistema postale per chiarire quali sono le caratteristiche che distinguono il ruolo di Titolare del trattamento da quello di Responsabile:”l’esternalizzazione da parte della società di compiti connessi all’espletamento del servizio postale (e dei connessi trattamenti finalizzati al recapito della corrispondenza) (può) costituire una soluzione organizzativa pienamente legittima anche in base alla disciplina di protezione dei dati personali. Ciò, tuttavia, a condizione che la stessa trovi corretta applicazione e più precisamente, con riguardo alla fattispecie qui esaminata, a condizione che le società appaltatrici – da individuarsi, in ogni caso, tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza” (art. 29, comma 2, del Codice) – siano previamente designate “responsabili del trattamento” ai sensi dell´art. 29 del Codice”. A tale fine, il Garante precisa che “solo in capo a Poste italiane è corretto fare riferimento alla figura di “titolare del trattamento”, atteso che solo detta società ha il potere di: a) assumere decisioni relative alle finalità del trattamento, consistente nel dare attuazione ai compiti connessi all’esecuzione del servizio postale universale (del quale è unica concessionaria). Ciò risulta chiaramente dal menzionato “accordo quadro” che delimita analiticamente, precisandone i compiti, le attività che legittimamente possono essere effettuate dalle società appaltatrici operanti nell’interesse di Poste italiane, e dalle prescrizioni contrattuali relative sia all’esecuzione del servizio di distribuzione e raccolta della corrispondenza, sia all’espletamento di servizi ausiliari; b) impartire istruzioni e direttive vincolanti nei confronti delle società appaltatrici, come emerge dalle istruzioni impartite per dare attuazione al servizio postale affidato in appalto”; c) svolgere funzioni di controllo rispetto all’operato delle medesime e degli incaricati delle stesse, come risulta dalle analitiche previsione della menzionata “procedura interna” relativa alle attività di controllo”.

Nel provvedimento del 15 giugno 2011, decidendo un caso di trattamento dei dati da parte di soggetti che si avvalevano di agenti per attività promozionali, il Garante ha precisato che “nel sistema delineato dal Codice, segnatamente ai sensi del combinato disposto di cui agli artt. 4, comma 1, lett. g) ed f), 28 e 29, l’esternalizzazione delle attività promozionali costituisce senz’altro una libera scelta organizzativa ed imprenditoriale di competenza esclusiva del titolare e dunque, nella specie, delle società preponenti; cionondimeno, nelle situazioni verificate dall’Autorità ed in tutte quelle in cui, pur non oggetto di formale indagine, l’atteggiarsi concreto dei rapporti tra i diversi operatori coinvolti è riconducibile alle fattispecie” (di Responsabile del trattamento). Ciò in quanto, secondo il Garante, “è sempre rimessa al Titolare, quale esercizio di una propria libera facoltà, la scelta di avvalersi di uno o più soggetti i quali, anche in outsourcing, svolgano comunque, anche in via di fatto, le attività tipiche del responsabile; qualora, tuttavia – come nei casi esaminati – il titolare decida in tal senso, sarà tenuto ad adoperarsi affinché all’atteggiarsi concreto dei rapporti corrisponda anche la loro corretta qualificazione giuridica sotto il profilo della protezione dei dati personali. Ne consegue che, in tali situazioni, affinché i connessi trattamenti di dati personali risultino conformi alla disciplina sulla protezione dei dati personali, è necessario che gli outsourcer, i quali – lo si ripete – già concretamente operano, in via di fatto, nella specifica qualità di responsabili del trattamento secondo la definizione del Codice, ricevano anche una espressa e formale designazione in tal senso, secondo il disposto dell’art. 29″.

Proprio perché il GDPR è una normativa che bada ai comportamenti concreti e non alle mere formalità, è del tutto illusorio, se non addirittura controproducente, da un lato, l’atteggiamento di chi pretende di opporsi – come talvolta mi è accaduto – alla richiesta del Titolare del trattamento di stipulare l’accordo previsto dall’art. 28 GDPR affermando di non accettare tale ruolo; dall’altro lato, è altrettanto inutile cercare di limitare le proprie responsabilità di Responsabile cercando, ad esempio, di ottenere, in sede di trattativa con il Titolare, eventuali “affievolimenti o sconti” di diligenza e/o limitazioni più o meno intense nei controlli e/o, ancora, l’inserimento di clausole di manleva, in deroga agli specifici obblighi previsti dall’art. 28 GDPR.

Buona Pasqua a tutti!

Pubblicato in Privacy, Strumenti per il business | Contrassegnato , , | Lascia un commento

Quando, come e quali dati cancellare

Una delle questioni più dibattute e complesse, soprattutto sotto il profilo pratico, è quella relativa al diritto dell’interessato alla cancellazione dei propri dati, oggi sancito, a livello normativo, dall’art. 17 del Regolamento UE 679/2016 (GDPR).

L’art. 17 del Regolamento riconosce, infatti, all’individuo/interessato il cosiddetto diritto all’oblio e, cioè, il diritto di poter chiedere in ogni momento la rettifica dei propri dati personali nonché di procedere alla loro cancellazione (e, dunque, nel contesto del web, appunto, all’oblio), se la conservazione di tali dati non è conforme al Regolamento stesso.

In base a quanto previsto dal GDPR, l’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei dati personali che lo riguardano, quando sussiste almeno uno dei seguenti motivi:

  1. i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, eccedendo tali finalità;
  2. l’interessato ritira il consenso su cui si basa il trattamento e non sussiste altro motivo legittimo per trattare i dati;
  3. l’interessato si oppone al trattamento dei dati personali e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
  4. i dati sono stati trattati illecitamente;
  5. i dati devono essere cancellati per adempiere a un obbligo legale previsto dal diritto dell’Unione o degli Stati membri cui è soggetto il Titolare del trattamento;
  6. i dati sono stati raccolti relativamente all’offerta di servizi della società dell’informazione diretti a minori di età.

In questi casi – non in via generalizzata – il Titolare del trattamento ha l’obbligo di procedere alla cancellazione, a fronte di una qualsiasi richiesta in tal senso dell’interessato.

Il diritto alla cancellazione dei dati integra il diritto di rettifica e di integrazione previsto dal precedente art. 16 GDPR ed era, come sappiamo, già previsto dall’art. 7 del nostro “vecchio” Codice Privacy, prima dell’abrogazione ad opera del D.lgs. 101/2018.

La conseguenza pratica più rilevante dell’esercizio del diritto di cancellazione da parte dell’interessato è che la cancellazione rende impossibile per il Titolare del trattamento l’ulteriore trattamento, ivi compresa la mera conservazione dei dati personali dell’interessato.

E’, d’altra parte, pur vero che il diritto alla cancellazione conosce delle eccezioni, (previste dall’art. 17, comma 3, GDPR), quando il trattamento dei dati sia necessario:

  1. per l’esercizio del diritto alla libertà di espressione;
  2. per l’adempimento di un obbligo legale o per l’esecuzione di un compito svolto nel pubblico interesse o nell’esercizio di pubblici poteri;
  3. per motivi di interesse pubblico nel settore della sanità pubblica;
  4. a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
  5. per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

A questo elenco si aggiungono, poi le limitazioni all’esercizio del diritto alla cancellazione introdotte nel nostro Codice Privacy (post D.lgs. 101/2018), nelle seguenti ipotesi:

  1. casi di pregiudizio effettivo e concreto agli interessi tutelati in base alle norme in materia di riciclaggio;
  2. situazioni in materia di sostegno alle vittime di richieste estorsive;
  3. attività delle Commissioni parlamentari d’inchiesta;
  4. attività di un soggetto pubblico connesse al sistema dei pagamenti, al controllo degli intermediari e dei mercati finanziari;
  5. svolgimento delle attività difensive o esercizio di un diritto in sede giudiziaria;
  6. riservatezza dell’identità del dipendente che segnala, ai sensi della L. 179/2017, illeciti di cui è venuto a conoscenza in ragione del proprio ufficio (il cosiddetto whistleblowing);
  7. trattamenti per ragioni di giustizia.

Il nostro ordinamento, inoltre, ha previsto, un ulteriore caso particolare e, cioè, quello relativo alle persone decedute: l’art. 2-terdecies del D.lgs 101/2018 prevede, infatti, la possibilità che il diritto alla cancellazione dei dati personali del defunto sia esercitato da chi ha interesse proprio o agisce a tutela dell’interessato, in qualità di suo mandatario o per ragioni familiari meritevoli di protezione.

Quest’ultima disposizione precisa, poi, che:
l’interessato, in vita, può vietare l’esercizio del diritto di cancellazione;
– tale divieto non deve recare pregiudizio all’esercizio, da parte di terzi, dei diritti patrimoniali che possano derivare dalla morte dell’interessato e al diritto di tutelare in giudizio i propri interessi;
– il diritto alla cancellazione non è esercitabile, con riguardo all’offerta di servizi della società dell’informazione(quali, ad esempio, i social network) nel caso in cui l’interessato lo abbia, in vita, espressamente vietato, con dichiarazione scritta presentata o comunicata al Titolare del trattamento.

Una volta cancellati i dati, il Titolare del trattamento che li ha resi pubblici è, inoltre, tenuto ad adottare misure procedurali, organizzative e tecniche per portare a conoscenza gli ulteriori Titolari del trattamento che stanno trattando i dati personali dell’interessato, della richiesta da questi avanzata di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali, informando i terzi della richiesta di cancellazione.

L’elemento innovativo apportato dal GDPR al contenuto del diritto alla cancellazione si sostanzia, dunque, anche nel porre in capo al Titolare, a cui venga presentata richiesta di cancellazione, l’obbligo ulteriore di farsi carico, sulla base delle tecnologie a disposizione e tenuti conto i costi da sostenere, di concorrere a dare ampia ed effettiva tutela all’interessato, attivandosi verso i terzi.

Come si procede alla cancellazione

Per attuare la cancellazione dei dati, il Titolate del trattamento può provvedere mediante:

a) distruzione;
b) anonimizzazione, cioè sottoponendo i dati a trattamenti che non rendano più possibile l’identificazione dell’interessato.

Occorre, peraltro, precisare che, perché si possa parlare di cancellazione, la pseudonimizzazione prevista dall’art. 4, n. 5 GDPR (cioè “il trattamento dei dati personali tale da far sì che questi “non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” secondo la definizione datane dal WP29 nel parere 5/2014, che potete leggere nella sezione “documenti utili” del Blog, cliccando qui) non è ritenuta sufficiente.

Il Titolare deve adempiere alle richieste di cancellazione senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento dell’istanza. Il termine può essere prorogato, tenuto conto della complessità e del numero delle richieste, di due mesi dandone preavviso tempestivo all’interessato.

La disciplina della cancellazione sembra, quindi, a prima vista molto lineare, ma nasconde, soprattutto per chi ha moltissimi dati, numerose insidie, perché si intreccia con molti altri istituti, necessità ed obblighi di legge, tra loro non sempre coerenti e compatibili, generando numerose problematiche, anche di ordine pratico, sulle quali mi soffermerò nei miei futuri interventi sul tema, data la loro complessità e trasversalità.

Pubblicato in Privacy, Strumenti per il business | Contrassegnato , , , , , | Lascia un commento

Ronchilegal ospite di cybersecurity360

Questa settimana la rivista digitale cybersecurity360.it ha ospitato un mio approfondimento sull’importanza di un’adeguata informativa agli interessati nell’utilizzo delle tecnologie che usano la connessione bluetooth.

Ringrazio il Direttore Alessandro Longo e Paolo Tarsitano per avermi ospitato sulle loro pagine e vi invito, se vi fa piacere, a leggere il mio articolo dal titolo “I dispositivi beacon e la tutela dei dati alla luce del GDPR” direttamente sul sito web della rivista.

Buon we a tutti!

Pubblicato in Digital life, Privacy, Strumenti per il business | Contrassegnato , , , | Lascia un commento

Attività di ristorazione e GDPR

Non tutti si rendono conto che le aziende che operano nel mondo della ristorazione si trovano, spesso, a trattare dati particolari (nell’accezione fatta propria dall’art. 9 del GDPR) dei loro clienti.

Come ormai sappiamo, nel trattare tale tipologia di dati, le aziende devono prestare particolare attenzione, adottando stringenti misure, tecniche ed organizzative, a tutela degli interessati.

Naturalmente – è ovvio – le aziende che operano nella ristorazione si trovano a trattare, come tutte le altre imprese, i dati particolari dei propri dipendenti ma – meno ovvio – anche numerosi dati relativi alla salute dei propri clienti, come, ad esempio, i dati relativi alle allergie ed intolleranze alimentari, sempre più frequenti, che sono raccolti allo scopo di avvisare il personale su come servire correttamente e senza rischi i propri avventori.

Il nostro Garante ha già avuto modo, in passato, di precisare che i dati relativi ad intolleranze o allergie sono dati aventi natura sanitaria che, come tali, devono essere trattati con particolare cautela dagli esercenti della ristorazione.

Se, inoltre, consideriamo che non è così inconsueto che tali dati coinvolgano i minori, occorrerà innalzare ulteriormente la soglia di attenzione, dato che, per questa fascia di interessati, il GDPR detta regole molto precise: il considerando 38 precisa, infatti, che “i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei loro dati personali”.

Ne discende, quindi, che un catering, una mensa (magari scolastica!) o anche solo un ristorante che apre un conto in favore di un cliente con delle intolleranze o allergie, registrando, allo scopo di fornire un servizio migliore, la connessione fra il nome del cliente e l’allergia specifica di cui soffre, tratta certamente dati particolari che impongono al Titolare del trattamento adeguate cautele, da segnalarsi anche nel Registro delle attività di trattamento.

Pensiamo, inoltre, a quelle aziende che producono o vendono prodotti alimentari specificamente destinati ad un certo pubblico di consumatori che scelgono solo alimenti certificati in base alle regole alimentari della propria religione (ad esempio, casherut o ḥalāl); o, ancora, ad un catering o ad una mensa che prevede questi alimenti nei propri menù: è chiaro che, in questo caso,il ristoratore è in grado di individuare la religione del cliente.

L’argomento è tanto più delicato se si pensa a quante sono, in Italia, le imprese nel settore della ristorazione e dell’accoglienza che sono gestite in un contesto familiare, dove spesso si usa ancora raccogliere le informazioni relative alle prenotazioni utilizzando la vecchia agenda di carta.

In queste agende spesso saranno presenti anche informazioni personali dei clienti (il numero di telefono, l’email, particolari relativi allo stato di salute come, ad esempio, eventuali allergie o scelte alimentari dei clienti vegani o vegetariani): in questi casi l’agenda cartacea raccoglie dati e informazioni che – pur se non raccolti e strutturati in forma digitale – sono comunque in grado di dare molte informazioni su specifici individui.

Stessa sorte, naturalmente, subiscono anche i dati degli ospiti degli hotel che soggiornano nella struttura, i quali finiscono per fornire al Titolare del trattamento numerosi tipi di dati: da quelli anagrafici, alle informazioni sulle abitudini e preferenze di consumo che, magari, vengono poi raccolte in un CRM e successivamente riutilizzate in campagne di marketing o successive offerte promozionali.

Sembra, quindi, inverosimile ritenere l’agenda cartacea lo strumento migliore per gestire correttamente i dati dei propri clienti, anche in funzione dei diritti che gli stessi possono esercitare in qualità di interessati, in primis, quello della cancellazione.

L’agenda cartacea, infatti, difficilmente consentirà al Titolare di raccogliere in modo organizzato e protetto i consensi degli interessati al trattamento dei loro dati particolari e le eventuali successive richieste di accesso, di rettifica, di opposizione, etc..

Salvo realtà molto contenute, l’entrata in vigore del GDPR impone, dunque, a chi opera nella ristorazione di dotarsi di uno strumento digitale adeguato a raccogliere le prenotazioni e contemporaneamente a gestire in modo sicuro, protetto ed organizzato la registrazione di tutte quelle ulteriori informazioni aggiuntive dei propri clienti in conformità ai principi stabiliti dal GDPR per la tutela degli interessati.

Pubblicato in Digital life, Privacy, Strumenti per il business | Contrassegnato , | Lascia un commento

Quando l’app non è trasparente

Da qualche giorno la palestra che frequento invita tutti i propri iscritti a scaricare sullo smartphone la propria app per partecipare ad un’iniziativa benefica, con l’obiettivo di donare attrezzature sportive ad una ONLUS.

Il meccanismo ideato dalla palestra per coinvolgere i propri clienti nell’iniziativa benefica sembra, a prima vista, richiedere solo un po’ di impegno fisico da parte dei partecipanti, attività non particolarmente difficoltosa per chi frequenta un centro fitness: l’app, infatti, monitora il tempo e l’intensità dell’allenamento (sul tapis roulant, sui vogatori, sugli step, etc.) e attribuisce ad ogni allenamento un punteggio; più punti totalizzano i partecipanti, più sarà alto il valore della donazione alla ONLUS.

Bella e lodevole iniziativa, non c’è dubbio.

Ma, parafrasando il noto detto, “tra il dire e il fare”, c’è di mezzo un’app non proprio trasparente e tanto meno compliant con le norme vigenti in materia di protezione dei dati personali.

Ho provato a iscrivermi all’iniziativa e vi racconto com’è andata.

Il sistema funziona così: scarico l’applicazione della palestra (il nome dell’app è chiaramente evocativo del brand della palestra) e, in fase di attivazione, mi viene chiesto di inserire:

  • la data di nascita;
  • il sesso;
  • il peso;
  • il mio numero di telefono;
  • l’autorizzazione al trattamento dei (sigh..) miei “dati sensibili” (benché, come ormai tutti sanno, dopo l’entrata in vigore del GDPR, dovremmo, a rigore, parlare di “categorie particolari di dati”, ma tant’è..) con la specificazione che il mio consenso è obbligatorio per utilizzare l’app.

Quando, però, cerco di capire chi utilizzerà (e per quanto) quei dati (ex) sensibili, la risposta si rivela complessa.

I termini di servizio mi informano, infatti, che l’app è di proprietà dell’azienda che produce le macchine fitness utilizzate dalla palestra e che è stata progettata per “promuovere il wellness lifestyle in uno scenario digitale dove – grazie a smartphone, tablet e nuove tecnologie disponibili – ciascuno è sempre connesso ai propri contenuti”.

Vengo, inoltre, informato che il servizio erogato tramite l’app prevede “l’archiviazione, l’organizzazione e il trattamento di dati, inclusi, a titolo esemplificativo, dati identificativi quali foto, nome e cognome, data di nascita, indirizzo email, peso e altezza, all’interno di un database accessibile da remoto tramite il Sito oppure via mobile” (non capisco il distinguo, dato che “sito” e “mobile” non mi sembrano due modalità alternative di accesso ai contenuti).

I termini di servizio rimandano, infine, alle condizioni relative al trattamento dei dati personali degli utilizzatori del Servizio, all’interno delle quali scopro che, se mi alleno in una palestra che utilizza la piattaforma fruibile tramite l’app in questione, devo “far riferimento alla privacy policy che ti è fornita dalla (sob…) Facility” (quindi, in ultima analisi, dalla mia palestra) perché – così mi viene spiegato – “il tuo rapporto contrattuale è direttamente con la Facility, alla quale l’app in questione fornisce servizi tramite la piattaforma (…) nella versione dedicata ai professionisti, in qualità di mero fornitore di servizi e responsabile del trattamento“.

Dopo aver letto queste informazioni, mi sento un po’ disorientato: un’app con il nome della mia palestra ma di proprietà dell’azienda produttrice dei macchinari dichiara di trattare i miei dati in qualità di responsabile del trattamento secondo la policy privacy della mia palestra che mi invita a leggere sul sito della palestra stessa! Mi domando quanti degli utenti che hanno scaricato l’app senza avere specifiche conoscenze dei termini utilizzati dal GDPR siano in grado di capire questa spiegazione!

Dopo la lettura di tutti i documenti informativi contenuti nell’app, non ho comunque ancora trovato risposta alle mie domande: chi tratta i miei dati particolari? Per quanto tempo? Con quali finalità?

Accetto, comunque, le condizioni di iscrizione dell’app, che, a questo punto, mi avvisa: “sembra che il nostro staff (quale? quello della palestra o dell’azienda proprietaria dell’app?) abbia già creato un profilo associato al tuo indirizzo email”; vengo, quindi, invitato a verificare il profilo registrato nei database della palestra e, con mio stupore, si apre una schermata in cui appare la mia fotografia, nome e cognome, nonché la data di prima registrazione alla palestra (anche con un errore, perché viene indicata la data “marzo 61, 2016”).

Se, per qualche motivo, l’email che ho inserito fosse stata associata ad un altro individuo (circostanza prevista dal programmatore, altrimenti non mi chiederebbe la conferma dei dati registrati!), ora conoscerei – immotivatamente – i dati identificativi, compreso il volto, di un’altra persona!

E’ evidente che nessuno si è posto il problema della minimizzazione e pertinenza dei dati che vengono utilizzati in fase di registrazione, perché l’identificazione del socio della palestra tramite la sua fotografia sarebbe facilmente sostituibile con sistemi di autenticazione più rispettosi dei dati personali degli iscritti.

Superato anche quest’ultimo passaggio di registrazione, l’app mi chiede, per prima cosa, di abilitare la localizzazione! La richiesta mi viene giustificata con la scusa che, in questo modo, possono “tenere traccia dei miei allenamenti all’aperto, per trovare centri vicini a te (la mia palestra ha solo tre centri in due città…) e molto altro” (un vero capolavoro di genericità circa le finalità del trattamento!).

Non accetto, naturalmente, la geolocalizzazione ed entro – finalmente! – nell’app.

A questo punto, trovo la sezione dedicata all’iniziativa benefica – che è l’unico motivo che mi ha indotto a scaricare l’app e ad iscrivermi! – dove trovo una classifica di 116 persone (tutti clienti della mia palestra), con tanto di foto e di nome, già iscritte a questo specifico programma.

Quindi, con un semplice click, ho concesso all’app di condividere la mia foto e il mio nome con altre 116 persone (di cui ne ho riconosciute solo 2), senza essermi neppure reso conto di aver concesso tale facoltà all’applicazione e senza che mi sia stata richiesta alcuna specifica autorizzazione al trattamento dei miei dati biometrici al momento di iscrizione all’iniziativa!

Cerco, quindi, nella sezione “informazioni importanti” se mi sia sfuggito qualcosa in fase di registrazione, ma vengo solo a conoscenza che l’app traccerà automaticamente le attività che effettuerò sugli attrezzi o durante i corsi nel centro o utilizzando applicazioni gps o la fascia cardiaca.

Sono trascorsi 15 minuti e non ho ancora capito, nonostante la strenua ricerca, a chi andranno i miei dati e quanto verranno conservati.

Cerco la privacy policy e scopro che è l’esatta copia di quella già letta in fase di iscrizione, perché si ripete che l’app non appartiene alla mia palestra, ma accede, evidentemente, al suo dabase, perché la mia foto è conservata solo dalla mia palestra, o così pensavo!

Oltretutto, la pagina dedicata a questo tipo di informazioni scorre anche molto male ed è estremamente difficile leggere l’intero testo e, confesso, se non avessi l’obiettivo dichiarato di andare a fondo di questa storia, ci avrei già rinunciato da molti minuti!

La policy privacy mi rimanda, ancora una volta, alla lettura della policy della mia palestra e, quindi, dopo altri minuti di ricerca, sono sempre al punto di partenza: non sono ancora riuscito a comprendere se il proprietario dell’app (cioè l’azienda che costruisce l’attrezzatura sportiva) conserva i miei dati o fornisce solo l’applicazione alla palestra, che è l’unica a trattarli e conservarli.

La policy – che, nemmeno a dirlo, scorre sempre malissimo – mi permette, comunque, di capire che:

  1. i miei dati, raccolti dalla app, vengono trasmessi alla mia (sob..) “Facility“, che li utilizza in qualità di autonoma titolare del trattamento: non mi risulta, però, di aver ricevuto alcuna informativa ai sensi dell’art. 13 GDPR, dalla mia (sob..) Facility per il trattamento dei miei dati di movimento durante le sessioni di allenamento tramite questa app;
  2. i miei dati verranno trattati per tutto il tempo in cui sarà attivo il mio account sull’app (quindi, potenzialmente, moltissimo tempo) e verranno anonimizzati solo dopo la cancellazione, ma con l’ulteriore (e tutt’altro che irrilevante) precisazione che
  3. la proprietaria della app (cioè l’azienda produttrice dei macchinari) “potrebbe continuare a trattare i tuoi dati personali in qualità di responsabile del trattamento per conto di una Facility cui sei iscritto. Dovrai richiedere a tale Facility l’indicazione del periodo di conservazione cui essa ricorre”. A questo punto, so che non troverete tanto strano che vi racconti che, dall’informativa reperita sul sito della mia palestra (scusate, “Facility”..) non si fa alcun cenno ai dati raccolti tramite l’app né si evince alcuna regola sul periodo di conservazione!
  4. inoltre, i dati raccolti tramite l’app “verranno cancellati dal proprietario della stessa ma non dalla mia Facility”, che pertanto – deduco – li conserverà non si sa né dove, né per che finalità, né per quanto e potrebbe anche (vedi punto 3) dare istruzioni in qualità di Titolare del trattamento al proprietario della app, in qualità di Responsabile del trattamento, di conservarli per un tempo ignoto! Non c’è fine al peggio!

A conclusione di tutta questa mia ricerca, comprendo, quindi, che, con la (capziosa) prospettazione di aiutare una ONLUS tramite i miei allenamenti quotidiani, mi sto facendo derubare di moltissimi dati personali, cedendo sostanzialmente alla cieca i dati sulle mie condizioni di forma fisica a due aziende che si scaricano reciprocamente le responsabilità in ordine al loro trattamento, senza neppure riuscire a sapere come questi dati verranno utilizzati, sia durante il tempo in cui terrò attiva l’applicazione sia successivamente, quando la campagna benefica terminerà (cioè, nell’arco di tre settimane).

Il tutto, ammesso e non concesso che io non dimentichi di disinstallare l’app, consentendo alle due aziende di fare dei miei dati ciò che vogliono per moltissimo tempo in conseguenza della mia dimenticanza o semplice inerzia o ignoranza delle conseguenze!

A prescindere dalla straordinario esempio di approssimazione e di collezione di errori (ma forse, come diceva una mia professoressa del Liceo, sono più “orrori” che errori!) nella progettazione di un’app che tratta dati personali di una certa delicatezza, mi domando: per chi è, realmente, la beneficenza?

Per la ONLUS o per le due aziende che, attraverso una subdola motivazione (l’adesione ad una campagna a scopo benefico), inducono centinaia di sportivi – che generosamente pensano di fare una buona azione – a scaricare un’applicazione che raccoglie dati utilissimi per le suddette aziende sulle modalità di fruizione dei servizi della palestra e dei macchinari fitness, senza sborsare un solo centesimo per queste informazioni e senza neppure fornire loro una chiara informativa su come i loro stili di vita e le loro abitudini di allenamento saranno trattate, protette e conservate nel tempo?

Ho disinstallato immediatamente l’applicazione e, se vorrò aiutare la ONLUS, le farò un bonifico.

La tragicomica esperienza che vi ho descritto mi costringe, comunque, a ricordare che l’art. 12 del GDPR impone ai Titolari del trattamento di predisporre un’informativa:

  1. concisa;
  2. trasparente;
  3. intelligibile;
  4. facilmente accessibile;
  5. utilizzando unlinguaggio semplice e chiaro.

Il GDPR richiede, in particolare, che l’informativa sia:

  1. breve (requisito della concisione), tenendo anche conto del fatto che le versioni on-line permettono di modulare lo spazio ed i contenuti in modi differenti;
  2. espressa con linguaggio semplice, evitando termini ambigui ed eccessivamente specialistici, cercando di evitare quanto più possibile i tecnicismi ed i riferimenti ad articoli, leggi, etc. (requisito della trasparenza);
  3. quando le informazioni da dare sono molte, si può strutturare l’informativa utilizzando icone che facilitino la lettura o sfruttare layout e format efficaci in funzione del tipo di supporto (cartaceo, digitale, mobile) allo scopo di spiegare nel modo più diretto possibile all’interessato quale sarà la destinazione dei suoi dati (requisito dell’intelligibilità);
  4. facile da trovare all’interno del sito (requisito dell’accessibilità);
  5. scritta in termini comprensibili per l’uomo medio, attraverso un testo veloce da scorrere, eventualmente facendo uso di tabelle o infografiche (requisito di chiarezza e semplicità).

Non c’è dubbio che l’app sopra descritta non rispetta neppure uno di questi parametri e spero facciate tesoro del mio racconto come fulgido esempio di ciò che non va assolutamente fatto!

Pubblicato in Digital life, Privacy | Contrassegnato , , , | Lascia un commento

Quali regole per la conservazione digitale?

Il tema della conservazione digitale riveste un’importanza sempre crescente nel nostro quotidiano tecnologico, che produce una mole di documenti sempre più cospicua, giorno dopo giorno, in un formato piuttosto che in un altro, dando l’illusione all’utente di poter sempre avere a disposizione ciò che gli occorre.

Come ho già avuto modo di spiegare nel mio precedente contributo sul tema (“L’importanza della conservazione digitale“), la conservazione digitale garantisce l’accesso permanente ai contenuti digitali grazie a specifiche regole tecniche (attualmente descritte, in via prevalente, nel Codice dell’Amministrazione digitale – CAD) che consentono di preservare l’integrità del contenuto documentale nel tempo.

L’importanza della conservazione digitale viene in rilievo, in particolare, nella fase di messa a disposizione dei documenti conservati in favore di chi li ha prodotti e ne ha chiesto, appunto, la conservazione.

Questa fase riveste un ruolo particolarmente importante perché è il momento in cui il documento (archiviato secondo le regole di conservazione disciplinate dal CAD) passa dalla fase di quiescenza (il deposito) a quella “nuova vita”, tornando a svolgere una funzione giuridicamente rilevante (ad esempio, perché il contratto archiviato secondo i criteri della conservazione digitale deve essere utilizzato nell’ambito di un contenzioso civile).

In questo “passaggio di stato” del documento (da quiescente ad attivo) si coglie in modo piuttosto agevole la differenza tra un documento analogico e un documento informatico perché:

  • nel caso del documento analogico, è sufficiente estrarre il documento cartaceo dall’archivio e produrne una copia (o, al massimo, una copia autentica conforme) in giudizio;
  • nel caso del documento informatico, non sarà sufficiente produrre in giudizio il documento digitale, ma occorrerà, altresì, depositare la prova della corretta conservazione digitale di quello specifico file. In assenza di questi ulteriori elementi, il documento, infatti, potrebbe essere messo in discussione sotto il profilo della sua autenticità (magari anche solo in relazione alla sua data) e/o della sua integrità (perché, ad esempio, presenta delle firme digitali scadute e, quindi, non potrebbe più considerarsi validamente sottoscritto).

La prova della conservazione digitale è, in particolare, costituita da quei documenti informatici generati nel momento in cui il contenuto digitale è stato conferito all’archivio del Conservatore accreditato presso l’AGID, attraverso i quali viene attestata l’attività svolta dal Conservatore stesso.

Nel concreto, colui che ha interesse ad utilizzare documenti conservati digitalmente presso un Conservatore accreditato, dovrà accedere al portale di quest’ultimo e farsi restituire:

  1. il documento informatico originale;
  2. il file .zip contenente le prove della conservazione (di norma si tratterà di files in formato .xml con il rapporto di versamento /pacchetto di conservazione, firmato dal Conservatore e il medesimo documento munito di marca temporale). In questo secondo documento, troveremo, in particolare, la sua data di conferimento in archivio e l’impronta informatica (hash) del documento conservato.

Il raffronto tra l’hash riportato nel rapporto di conservazione e l’hash del documento informatico – in caso, naturalmente, di identità dei due – costituirà la prova della integrità e della validità giuridica del suddetto documento digitale.

Il ciclo di vita dei documenti depositati negli archivi dei Conservatori si conclude, poi, con la cosiddetta fase di scarto del pacchetto di archiviazione dal sistema di conservazione digitale, che si ha quando i documenti posti in conservazione vengono eliminati perché il loro proprietario ritiene non più necessario tenerne copia perché:

  • hanno esaurito la loro validità giuridica;
  • non hanno più alcuna rilevanza storica.

Questo fondamentale passaggio conclusivo del processo di conservazione digitale richiede – in capo a colui che vuole / deve porre in conservazione i propri documenti informatici – un’attenzione particolare dato che, per attuare la scelta di scarto, è necessario previamente stabilire i criteri in ordine a:

  1. cosa conservare (quali tipi di documenti e quali formati);
  2. per quanto tempo conservare.

Conservare digitalmente un eccesso di documentazione comporta, infatti, costi di conservazione elevati e crescenti nel tempo.

Inoltre, conservare indistintamente tutto non serve, non è utile e, anzi, è controproducente perché si rischia, nel tempo, di rendere problematica e difficoltosa la reperibilità della documentazione realmente rilevante.

Si comprende, quindi, quanto sia importante disporre di un sistema di gestione documentale efficiente, magari personalizzato, che risponda alle specifiche esigenze di ciascuna azienda con riferimento ai quesiti di cui sopra.

In questo modo, individuati preventivamente quali debbano essere i requisiti che deve avere un documento perché sia adottata la decisione di porlo in conservazione, il documento, tramite il sistema di gestione documentale, verrà automaticamente indirizzato alla conservazione, evitando il rischio di dimenticanze da parte dell’interessato e, quindi, impedendo una sua accidentale perdita.

Nel medesimo modo potrà essere gestita anche la fase di scarto: predeterminando, infatti, anche i meccanismi di verifica periodica dei documenti conservati digitalmente, si potrà accertare sistematicamente la perdurante necessità di conservazione o, al contrario, una prematura obsolescenza, consentendo tempestive disposizioni al Conservatore per lo scarto o il mantenimento in conservazione, senza rischi di anomale stratificazioni documentali e costi eccessivi.

L’eliminazione dei documenti posti in conservazione è, d’altra parte, un’attività necessaria per garantire un’ordinata tenuta dell’archivio digitale che, da un lato, evita l’accumulo di masse ingenti di documentazione inutile ed effimera e, dall’altro lato, consente di svolgere un’ineludibile operazione culturale di selezione delle fonti storiche realmente rilevanti.

Pubblicato in Digital life, Tecnologia per il business | Contrassegnato , | Lascia un commento

I Codici di condotta all’esame dell’EDPB

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato le linee-guida in materia di codici di condotta (trovate il testo integrale, in versione inglese, nella sezione documenti utili del Blog).

Le linee-guida mirano a fornire orientamenti pratici e supporto interpretativo in merito all’applicazione degli articoli 40 e 41 del GDPR, chiarendo le procedure e le norme relative alla:
1. presentazione;
2. approvazione;
3. pubblicazione
dei codici di condotta sia a livello sia nazionale (codici nazionali) sia a livello europeo (codici transnazionali).

Le linee-guida vogliono, inoltre, fungere da punto di riferimento per tutte le Autorità di controllo nella valutazione dei codici di condotta, così da fornire a tutti i soggetti coinvolti principi coerenti in grado di snellire le relative procedure.

Il testo è piuttosto lungo (si tratta di 29 pagine, comprensive dei 4 allegati) ed è suddiviso nei seguenti capitoli:

  1. scopo delle linee-guida;
  2. definizioni;
  3. cosa sono i codici di condotta?
  4. quali sono i benefici dei codici di condotta;
  5. ammissibilità di una bozza di codice di condotta;
  6. criteri per l’approvazione dei codici di condotta;
  7. procedimento per i codici di condotta nazionali;
  8. procedimento per i codici di condotta transnazionali;
  9. partecipazione (alla fase di esame dei codici di condotta);
  10. il ruolo della Commissione;
  11. monitoraggio del codice di condotta (tramite organi di controllo);
  12. requisiti per l’accreditamento degli organi di controllo;
  13. codici di condotta approvati;
  14. revoca di un organismo di controllo;
  15. codici relativi al settore pubblico.

I quattro allegati al testo riguardano:

  1. una sintesi delle differenze tra un codice di condotta nazionale e un codice di condotta transnazionale;
  2. la scelta dell’Autorità di controllo competente (nel testo inglese abbreviata in “CompSA” – Competent Supervisory Authority);
  3. la checklist dei requisiti necessari per poter procedere validamente alla presentazione di un testo di codice di condotta;
  4. il diagramma di flusso (esplicativo della procedura di approvazione).

Data la complessità del testo e la sua articolazione in svariati argomenti, non è chiaramente possibile sintetizzare il contenuto delle linee-guida nel breve spazio di questo articolo e, pertanto, mi permetto di scegliere dal documento dell’EDPB – in modo del tutto arbitrario – alcuni passaggi, per darvi qualche spunto o informazione che possa stimolare il vostro interesse.

Mi soffermo, in particolare sul capitolo 1 (“scopo delle linee-guida”) e sul capitolo 4 (“quali sono i vantaggi dei codici di condotta”).

Sotto il primo profilo, l’EDPB chiarisce che lo scopo delle linee-guida è di dare “indicazioni pratiche e supporto interpretativo” nell’applicazione degli articoli del GDPR dedicati alle modalità di approvazione dei codici di condotta (art. 40) ed alla fase del successivo monitoraggio (art. 41), in particolare, con riferimento:

  • alle procedure ed alle regole relative alla presentazione, all’approvazione ed alla pubblicazione dei codici, sia a livello nazionale sia europeo;
  • ai criteri minimali che devono essere richiesti dall’Autorità di controllo competente (“CompSA”) per ritenere ammissibile e, quindi, esaminabile, la bozza di codice di cui si chiede l’approvazione;
  • ai requisiti connessi alla fase di monitoraggio dei codici approvati.

E’ importante segnalare che le linee-guida NON comprendono anche i codici di condotta relativi ai trasferimenti di dati personali verso paesi terzi od organizzazioni internazionali, che saranno oggetto di un testo ad hoc, di successiva elaborazione.

Sotto il secondo profilo, viene ribadito che i codici di condotta costituiscono un valido strumento per definire un set di regole adeguato e conforme ai principi del GDPR, in grado di delineare procedure compliant per determinati settori produttivi e/o per alcune specifiche attività.

I codici, inoltre, costituiranno un aiuto importante per i Titolari del trattamento e i Responsabili, ad esempio, nell’individuazione della corretta base giuridica o delle idonee procedure di sicurezza o, ancora, per la concreta applicazione dei principi di privacy by design e by default.

Adottando codici di condotta approvati si opera in base ad una sorta di presunzione di conformità alle best practice di settore, aiutando, nel contempo, a consolidare, processi organizzativi specifici e, quindi, generando un’uniformità di comportamento all’interno di particolari contesti produttivi e/o organizzativi.

L’EDPB sottolinea, inoltre, che l’adesione ad un codice di condotta (e, naturalmente, la sua effettiva osservanza!) sarà tenuta in considerazione dall’Autorità di controllo nelle proprie valutazioni (con riferimento, ad esempio, alle misure di sicurezza o alle procedure di DPIA), anche per quanto riguarda l’applicazione di eventuali sanzioni a carico del Titolare del trattamento e/o del Responsabile.

Benché il percorso sia ancora lungo, queste prime linee guida consentono di aprire uno spiraglio di ottimismo verso un futuro fatto di regole certe ed uniformi in grado di chiarire quali siano le corrette modalità di trattamento in particolari settori, snellendo e semplificando l’onere in capo a Titolari e Responsabili del trattamento.

Ricordo che le linee-guida sono sottoposte a consultazione pubblica fino al 2 aprile 2019.

Pubblicato in Privacy, Strumenti per il business | Contrassegnato , , | Lascia un commento

Il ruolo dei consulenti del lavoro nell’epoca del GDPR

Nella (per ora) breve storia del GDPR in Italia, ai consulenti del lavoro è toccato il destino di essere oggetto di un dibattito piuttosto acceso in merito al loro ruolo nell’ambito delle figure definite dal Regolamento Europeo 679/2016.

Fin dagli esordi, nel maggio 2018, si sono avvicendate svariate opinioni, con prese di posizione anche contrastanti tra loro, alcune delle quali – va detto – degne di nota per la loro originalità ma non particolarmente lineari né cristalline nell’interpretazione della norma di cui all’art. 28 GDPR.

Già nel luglio del 2018 ne davo atto in questo Blog, in un articolo (“Titolare, responsabile o contitolare?“) nel quale esprimevo forti perplessità, sia teoriche sia pratiche,in merito al fatto che si potesse considerare i consulenti del lavoro come contitolari del trattamento.

Senonché, il 23 luglio 2018 il Consiglio Nazionale dell’Ordine dei consulenti del lavoro smentiva le mie conclusioni con la circolare n.1150, con la quale si sosteneva che “la co-titolarità del Trattamento è ruolo fisiologico per il Consulente del lavoro e discende dal mandato professionale assunto per la gestione dei rapporti di lavoro. In forza di tale ruolo il Consulente-titolare è autonomo nella gestione dei dati delle aziende assistite all’interno del proprio studio, restando escluso e deresponsabilizzato dalle eventuali violazioni della richiamata normativa da parte del proprio cliente nella gestione della propria organizzazione”.

La presa di posizione del Consiglio Nazionale dei consulenti del lavoro ha risvegliato il dibattito; all’epoca, ho personalmente condiviso la presa di posizione di Cesare Gallotti: “mi ricorda il dibattito sulla natura della luce (ossia incomprensibile, se non che la soluzione è impossibile nei termini posti)” .

Più tecnico, ma altrettanto condivisibile è stato anche il commento di Davide Foresti: “La recente circolare n. 1150 del Consiglio Nazionale dell’Ordine dei Consulenti del lavoro mi pare si basi su un completo travisamento del concetto stesso di Responsabile, che appare quasi intenzionale da come vengono citati ad hoc parti della normativa. Una interpretazione che nasce forse per il comprensibile scopo di tutelare la categoria, ma che finisce col risultare troppo influenzata dal grande timore che i consulenti sembrano avere delle ‘attività di revisione e ispezioni’ ex art. 28 del GDPR”.

Per mesi si è rimasti in questa situazione di (virtuale) stallo, ma, finalmente, con la newsletter del 7 febbraio 2019, il nostro Garante ci ha chiarito che i consulenti del lavoro sono veri e propri responsabili del trattamento quando trattano i dati dei dipendenti dei clienti in base all’incarico ricevuto da questi ultimi.

Querelle finita? Speriamo di si!

Rispondendo proprio alle domande di quel Consiglio Nazionale che aveva preso posizione a favore della contitolarità dei propri iscritti, il nostro Garante ha precisato che il GDPR si pone in linea di continuità con la Direttiva 95/46/CE e conferma le definizioni di titolare e responsabile del trattamento, nelle quali il primo resta il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo colui che “tratta dati personali per conto del titolare del trattamento”.

Pertanto, conclude, il Garante, i consulenti del lavoro:
sono “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche (ad esempio, liberi professionisti), determinando puntualmente le finalità e i mezzi del trattamento;
sono “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare (ad esempio, curando per conto di datori di lavoro, la predisposizione delle buste paga, le pratiche di assunzione, i conteggi di fine rapporto o quelli previdenziali e assistenziali, trattando una pluralità di dati personali, anche particolari, dei lavoratori).

Ci sono voluti quasi 9 mesi e si è dovuto addirittura scomodare la massima autorità del Paese in materia di protezione dei dati per scoprire che l’acqua è bagnata.

Speriamo che ora il nostro Garante possa dedicare il suo tempo a incombenze più qualificate e qualificanti.

Pubblicato in Privacy | Contrassegnato , , | 1 commento

Tutele contro il social engineering

Il social engineering è, nell’ambito delle tematiche di sicurezza informatica, una delle pratiche più insidiose da contrastare perché non coinvolge solamente aspetti tecnologici, ma anche (o soprattutto) il comportamento individuale delle persone.

Si tratta di una vera e propria attività fraudolenta volta a carpire informazioni utili all’utente, traendolo in inganno, di norma utilizzata per superare quei sistemi di protezione aziendali (informatici e non) senza rilevanti vulnerabilità e, quindi, difficili da violare con l’utilizzo dei consueti software malevoli.

Quando il sistema IT è adeguatamente protetto, il soggetto malintenzionato cercherà, quindi, di “aggirare l’ostacolo”, procurandosi le informazioni di cui necessita attraverso, appunto, un attacco di social engineering (o, se preferite, all’italiana, di ingegneria sociale), cioè tentando di ingannare l’essere umano e non la macchina.

Per difendersi da questo tipo di attacco, occorre programmare un’adeguata formazione all’interno dell’azienda, affinché il personale, soprattutto quello più esposto a questa tipologia di rischio, abbia conoscenze adeguate per riconoscere di essere di fronte ad una tattica di social engineering e riesca, pertanto, a contrastare l’iniziativa fraudolenta in modo efficace.

E’ appena il caso di precisare che questa specifica attività di formazione rientra a pieno titolo tra quelle misure di sicurezza che l’art. 32 del GDPR prescrive in capo ai Titolari del trattamento (o ai loro DPO, laddove presenti).

Quali sono le più comuni strategie del social engineer?

Il social engineer è un soggetto che mente sulla propria identità, fingendosi ciò che non è per ingannare gli altri: così facendo, elude i sistemi di sicurezza messi in atto dalle aziende e ricava informazioni che non potrebbe mai ottenere con la sua reale identità.

Le più note e usate le tecniche di social engineering sono le seguenti:

  1. messaggi dotati di autorevolezza: l’utente riceve un messaggio con la richiesta di svolgere una specifica azione (confermare una password, verificare l’account, etc.) da un Ente o da un soggetto notoriamente affidabile e/o dotato di una certa autorevolezza (una banca, ad esempio, o un proprio fornitore); nel messaggio, il social engineer replica loghi e grafica tipici del soggetto che sta fingendo di essere e, quindi, può far cadere in errore l’interlocutore, specie se disattento (perché occupato da molteplici compiti e a corto di tempo o perché scambia già, nel quotidiano, numerose comunicazioni con quel soggetto, etc.). Ricadono in questa ipotesi i tipici messaggi di phising che replicano grafica e simboli di note banche o di altri operatori ritenuti molto autorevoli;
  2. meccanismo basato sul senso di colpa: in questo caso, il social engineer cerca di generare un senso di colpa nell’utente, spingendolo a fare azioni particolari o inconsuete (ad esempio, facendogli credere di essere a conoscenza dei suoi download illeciti, lo obbliga a pagare una multa on-line in modo da ottenere non solo un pagamento immediato ma anche i dati associati a tale pagamento);
  3. simulazione di una situazione di urgenza o di panico: in questo caso, tramite email si viene, ad esempio, avvisati di un nuovo e pericoloso virus che è in grado di mettere fuori uso uno o più sistemi IT e si viene invitati, con una certa urgenza, a scaricare un allegato che dovrebbe permettere di difendersi dalla minaccia. Il file contiene, invece, un malware in grado di insinuarsi nella rete locale e carpire informazioni;
  4. sfruttare l’ignoranza tecnologica dell’interessato: il social engineer invia un messaggio con una terminologia particolarmente ricercata e molto tecnica, creando i presupposti per portare la vittima a compiere un’azione non sufficiente ponderata perché non realmente compresa dall’utente;
  5. proposte di offerte vantaggiose: l’utente è spinto a visitare un determinato sito che propone acquisti a prezzi che sembrano “imperdibili”. Solitamente, però, l’escamotage serve per indurre l’utente a scaricare un software malevolo;
  6. proporre un aiuto o far leva sui buoni sentimenti: a volta l’attacco di social engineering viene sferrato simulando la fornitura di un servizio gratuito o offrendo un aiuto ad una persona qualsiasi in azienda (per esempio facendosi passare per un operatore di help-desk). In questo modo, la vittima, sentendosi al sicuro, seguirà passo passo le istruzioni che le verranno date, mettendo a disposizione informazioni importanti che mai avrebbe divulgato. Facendo, inoltre, leva sui buoni sentimenti, si riesce altrettanto facilmente ad indurre un utente a fare donazioni (magari comunicando anche propri dati di pagamento riservati) a favore di persone in difficoltà del tutto inesistenti.

Quali sono le contromisure?

Tutte le sopra descritte metodologie di attacco sfruttano, con tutta evidenza, tecniche di manipolazione psicologica, per difendersi dalle quali vi è solo un’arma: aumentare la consapevolezza delle persone tramite la formazione.

Di solito, infatti, le usuali tecnologie di sicurezza informatica (firewall o antivirus) non sortiscono alcun effetto, dato che l’anello debole è l’essere umano e, dunque, la consapevolezza dell’esistenza di certe tecniche ed una “sana diffidenza” sono fondamentali per contrastare il social engineering.

Le best practices da seguire per limitare i rischi di questo tipo attacchi in ambito aziendale sono:

  • sviluppare e diffondere un’adeguata policy, stabilendo procedure chiare ma cogenti per tutto il personale, nella quale sia chiaramente specificato dove, come, quando e da chi devono essere trattati i dati;
  • capire quali sono le informazioni più importanti da difendere e valutare il loro livello di esposizione verso l’esterno;
  • stabilire protocolli di sicurezza, politiche e procedure per i dati strategici e più rilevanti per la vita dell’azienda;
  • verificare periodicamente se le regole di comportamento adottate sono seguite dal personale e rimangono valide nel tempo (eseguendo periodicamente anche dei test di vulnerabilità);
  • aspetto solitamente molto sottovalutato e per questo molto sfruttato dai social engineers: regolamentare molto attentamente la fase di gestione dei rifiuti, individuando aree protette ed accessibili solo da personale di pulizia autorizzato, dato che i rifiuti informatici sono una preziosa fonte di dati quando non vengono adeguatamente smaltiti.

E’, comunque, opportuno che il personale venga istruito, a livello generale, a

  • diffidare da email o telefonate non richieste da persone che chiedono informazioni su dipendenti o riguardo l’azienda (anche finanziarie), documentandosi previamente su chi sia l’interlocutore e verificandone l’effettiva identità;
  • non diffondere informazioni strategiche in rete senza verificare il livello di sicurezza e attendibilità del sito;
  • controllare sempre la URL dei siti web;
  • evitare, naturalmente, di aprire allegati o file eseguibili di dubbia provenienza;
  • informare tempestivamente gli amministratori di rete e i responsabili IT di eventuali anomalie o casi dubbi;
  • se sono state comunicate delle password, cambiarle su tutti gli account in cui viene usata la medesima combinazione.

In caso si cada vittima di un attacco di social engineering può, comunque, essere utile ed opportuno anche contattare la Polizia Postale sia per denunciare il fatto accaduto sia per avere eventuali suggerimenti di comportamento, data l’esperienza e la casistica acquisita nel tempo da questi uffici proprio in tale materia.

Pubblicato in Digital life, Privacy, Strumenti per il business | Contrassegnato , | Lascia un commento

I costi del GDPR

L’entrata in vigore del GDPR ha sicuramente generato dei costi per tutte le imprese chiamate ad adeguarsi alla normativa Europea.

Già prima del 25 maggio 2018 , autorevoli fonti riportavano stime piuttosto significative: “Confesercenti parla addirittura di 2 miliardi di euro per le aziende italiane, a causa del GDPR. IDC parla di 200 milioni di euro, aggiungendo che secondo il 70 per cento del loro campione il costo e la complessità maggiore viene dall’obbligo di notifica data breach con il Gdpr entro 72 ore. Segue il tema dell’implementazione concreta e su larga scala delle soluzioni di crittografia/ anonimizzazione/ mascheramento dei dati (circa il 60% delle imprese). Seguono altri punti improrogabili più essenzialmente legati ai processi, come la gestione del consenso, la gestione dei SAR eccetera”.

Si prevedeva, inoltre, che le difficoltà di spesa maggiori sarebbero state a carico delle PMI: “Non esistono statistiche in merito all’investimento medio delle realtà nazionali in materia di privacy, ma è difficile ipotizzare che una PMI con un fatturato non superiore ai 5 milioni di Euro, possa e voglia investire, nel suo complesso, più di 50.000 euro per l’adeguamento e più di 25.000 euro per la gestione ordinaria degli adempimenti previsti dal GDPR. Una capacità di investimento così ridotto obbliga sempre di più a scelte strategiche in merito al processo di adeguamento al GDPR”.

A distanza di otto mesi dall’entrata in vigore del GDPR i costi per l’adeguamento sono effettivamente emersi ma, tralasciando le grandi realtà multinazionali e le imprese di dimensioni più rilevanti, si è anche compreso – a mio avviso – che non tutti i costi sostenuti per la conformità sono uguali.

Mi spiego.

Ci sono, innanzitutto, i costi per la consulenza iniziale, quelli, cioè, collegati allo sviluppo della cosiddetta GAP analisys dell’organizzazione d’impresa: questi costi vengono spesso percepiti dall’azienda cliente come una sorta di male necessario (“è da fare, facciamola al prezzo più contenuto possibile”).

Questo approccio, di norma, è un errore, perché si cerca il consulente meno caro – che, purtroppo, è sempre dietro l’angolo disponibile a promettere tanta carta – che rassicura il cliente sul fatto che si sta lavorando alacremente per un costo contenuto; inutile precisare che il prezzo è basso perché, solitamente, il consulente si limita a fornire un set di documentazione più o meno prestampato, a volte addirittura con poca attinenza alla realtà aziendale che lo ha incaricato.

Il servizio ricevuto da questa impresa è, insomma, di scarsa qualità e di insignificante utilità per il cliente che, anche una volta concluso il lavoro del consulente, si ritrova nella stessa situazione di partenza, con un fascicolo in più (di cui spesso ignora l’uso che deve farne), dei soldi in meno e l’illusoria convinzione di essere a posto per sempre.

Questo è il tipico esempio di come un costo che sembra piccolo all’apparenza sia, in verità, un grande costo, forse anche più grande di quello che l’impresa voleva evitare, perché, tra le altre cose, non fornisce alcun valido supporto al cliente nel tempo, non aumenta la cultura e la consapevolezza del personale in materia di protezione dei dati e non produce alcun incremento del valore complessivo dell’azienda, neppure sotto il profilo della brand reputation.

Ci sono, poi, – i costi di implementazione tecnologica.

Molte aziende con cui ho lavorato non avevano budget sufficientemente adeguati a garantire i criteri di sicurezza previsti dall’art. 32 GDPR: come fare, quindi, a consentire a queste aziende di essere compliant alla normativa senza imporre loro costi eccessivi ed insostenibili?

A mio avviso, occorre applicare in modo molto serio ed oculato il principio generale sancito dall’art. 32, comma 1 del GDPR e, cioè, valutare attentamente e tenere in debito “conto (del)lo stato dell’arte e (de)i costi di attuazione, nonché (del)la natura, (del)l’oggetto, (de)il contesto e (del)le finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche“.

Solo attraverso un’attenta e ben dosata applicazione di tutti questi parametri è possibile ottenere un grado di sicurezza adeguato senza cadere nella tentazione di adottare soluzioni tecnologiche tanto sbrigative quanto costose per realtà di dimensioni contenute (ad esempio, cifrare tutto, costringendo, magari, l’azienda a cambiare molti device non configurabili con i nuovi criteri) o soluzioni superflue in relazione al rischio concreto.

Conosco aziende che offrono servizi di monitoraggio continuo, in remoto, dell’intera infrastruttura IT , di grande qualità e di sicura efficacia per il rispetto dei criteri di cui all’art. 32 GDPR e, se potessi, ne consiglierei i servizi a tutti i miei clienti; considerati,però, i costi, se imponessi indiscriminatamente questa tecnologia a tutti i miei clienti, farei una pessima consulenza, a prescindere dalla incontrovertibile validità della tecnologia.

Anche in questo caso, la consulenza di un professionista preparato, con un’ottima conoscenza delle norme e dei provvedimenti del Garante, può fare la differenza in termini di costi rispetto ad un consulente improvvisato, con un impostazione eccessivamente formalistica, che faccia spendere all’azienda molte più risorse del necessario in adeguamenti tecnologici.

Vi sono, infine, i costi organizzativi, intesi soprattutto come tempo da dedicare all’implementazione della complessiva governance del sistema di qualità aziendale connesso al GDPR.

Quanto tempo occorre per fornire le adeguate informazioni al consulente che si occupa di svolgere l’analisi dei processi aziendali? Quanti professionisti / funzioni / ruoli vanno coinvolti per sviluppare la GAP Analysis? E per una corretta formazione del personale? E per lo sviluppo di policy adeguate, corrette e aggiornate nel tempo? E per verificare la costante adeguatezza delle misure? E per controllare l’effettiva adozione delle regole da parte di tutti?

Sono, questi, costi che possono avere grande impatto sui conti aziendali.

Ho seguito clienti a cui veniva richiesta la mappatura, nel dettaglio, di decine di server aziendali e che, posti davanti all’emergere di un significativo costo in termini di risorse umane da coinvolgere per dare risposta alle richieste di assessment, pretendevano di trincerarsi dietro l’obbligo di legge, facendo finta di ignorare che il loro contratto di servizio non prevedeva, nel prezzo pattuito, una simile prestazione.

Un altro cliente mi ha confessato di non essere in grado di attribuire una password a ciascun lavoratore assunto a chiamata durante i picchi di produzione in quanto, data la mole di personale aggiuntivo e le risorse stabilmente impiegate, nessuno, internamente, poteva dedicare il tempo necessario alla generazione ed assegnazione a ciascun lavoratore interinale della propria password, senza sacrificare i tempi di consegna previsti nei contratti con i clienti finali, con conseguente applicazione di penali contrattuali certe ed elevate.

Non è sufficiente, pertanto, proclamare astrattamente il rispetto di regole organizzative adeguate se non ci si confronta anche con i costi che le stesse possono generare.

Resto un convinto sostenitore della validità ed importanza delle regole del GDPR ma le imprese devono essere molto attente a non sostenere costi inutili per implementazioni inefficaci e/o incomplete solo perché mal consigliate o allettate da soluzioni di consulenza a basso prezzo che nascondono, poi, voci di costo implicite o inaspettate (per il cliente) a causa dell’impreparazione dei propri consulenti.

Pubblicato in Privacy, Strumenti per il business | Contrassegnato , , , | Lascia un commento

L’importanza della conservazione digitale

Il tema della conservazione digitale dei documenti informatici, pur noto da molto tempo, è divenuto d’attualità soprattutto a seguito dell’introduzione della – tanto temuta – entrata in vigore della fatturazione elettronica, che ha esteso l’esigenza di conservazione dei documenti digitali a norma di legge anche ad una molteplicità di soggetti che, in precedenza, non avevano alcuna conoscenza del tema.

Ma cos’è, esattamente, la “conservazione digitale” e quale esigenza soddisfa?

E’ noto che l’evoluzione digitale della nostra società ha portato ad una enorme produzione di documenti informatici che devono conservare nel tempo le loro caratteristiche di:
– autenticità;
– integrità;
– immodificabilità.

In un’economia digitale, qual è la nostra, non è, infatti, più sufficiente garantire l’integrità del documento (una volta cartaceo, oggi in formato digitale) per assicurare l’immodificabilità del contenuto e la sua leggibilità nel tempo, perché – come sappiamo – la nostra tecnologia evolve continuamente ed i formati digitali si modificano rapidamente e, in alcuni casi, vengono completamente sostituiti, rendendo obsoleti e potenzialmente non più consultabili interi testi.

La conservazione digitale svolge, quindi, la funzione di garantire l’accesso permanente ai contenuti digitali grazie a specifiche regole tecniche che permettono di mantenere l’integrità del contenuto documentale nel tempo.

Queste regole sono, oggi, contenute, in primo luogo, nel Codice dell’amministrazione digitale (CAD), che stabilisce i principi generali della materia nel nostro ordinamento, benché le fonti normative di dettaglio siano, poi, rinvenibili in una molteplicità di altri testi normativi.

Il primo articolo del CAD da prendere in esame è l’art. 43, il quale stabilisce, nella sua attuale formulazione, due principi:

  1. gli obblighi di conservazione digitale si intendono assolti correttamente quando le procedure di archiviazione dei documenti sono conformi a quanto previsto dalle linee guida attuative del medesimo CAD;
  2. la conservazione digitale di documenti dei privati effettuata da un’Autorità pubblica, esenta il privato dagli obblighi di archiviazione che fossero eventualmente posti a suo carico.

L’art. 44 del CAD, invece, stabilisce le regole di strutturazione dell’archivio dove saranno custoditi i documenti digitali conservati, definendo:

  • quali devono essere le caratteristiche che deve possedere il sistema di conservazione dei documenti digitali;
  • quali caratteristiche devono avere i documenti per potersi definire correttamente conservati;
  • quali sono i compiti del responsabile della conservazione (ricordo, tra i più importanti: definire le caratteristiche del sistema; gestire il processo di conservazione e garantirne la conformità; generare i rapporti di versamento dei documenti; generare e sottoscrivere i pacchetti di distribuzione; effettuare il monitoraggio del sistema di conservazione; verificare periodicamente l’integrità e la leggibilità degli archivi; garantire la sicurezza fisica e logica degli archivi, predisporre il manuale di conservazione, etc.);
  • quando il responsabile della conservazione può esternalizzare la propria funzione, attribuendo la “conservazione  dei documenti  informatici ad altri soggetti,  pubblici o privati, che offrono idonee garanzie organizzative, tecnologiche e di protezione dei dati” (conservatori accreditati).

La gestione dei conservatori accreditati a cui quotidianamente ci rivolgiamo è affidata all’AgID, che stabilisce il procedimento di accreditamento e che tiene ed aggiorna l’elenco dei conservatori, consultabile sul suo sito web (potete visitarlo semplicemente cliccando qui), con il rispettivo Manuale di conservazione.

Il Manuale di conservazione è il documento fondamentale su cui si basa il procedimento di conservazione perché, al suo interno, il conservatore definisce i principi tecnici ed organizzativi dell’intero processo di conservazione richiesti dall’AgID per l’accreditamento, secondo un modello standard elaborato dalla stessa Autorità affinché i procedimenti di conservazione possano essere tra loro confrontati e valutati.

Senza entrare nel merito dell’applicazione dei principi di conservazione ne diversi ambiti in cui si possono utilizzare – trattazione che richiederebbe ben più spazio di un articolo del mio blog – si comprende come la conservazione digitale dei documenti sia un tema sempre più cruciale per la conservazione della memoria storica del nostro tempo, che è la prima epoca in cui si realizza una significativa dematerializzazione del contenuto documentale.

Senza un corretto processo di conservazione, diviene, infatti, estremamente difficile e, in alcuni casi, con il tempo, quasi impossibile, ricostruire la nostra storia: tra duecento anni come sarà possibile analizzare documenti prodotti con un pc dei primi anni ’90? E tra quindici anni?

Il problema è, quindi, di enorme rilevanza perché i nostri supporti informatici, da un lato, rendono possibile l’istantanea trasmissione e duplicazione di dati senza alcuno sforzo ma, dall’altro lato, sono anche estremamente più fragili di qualsiasi supporto analogico: dalla carta, anche quella carbonizzata, si è spesso in grado di estrarre delle informazioni (pensiamo, ad esempio, a certe pergamene antiche), ma i dati contenuti in un hard drive corrotto o leggibili solo da un software dismesso, sono completamente perduti.

Né si può, naturalmente, propugnare un ritorno al passato fatto di carta, perché la digitalizzazione è una pratica che apre enormi possibilità alla ricerca storica (attraverso, ad esempio, il text mining) e l’integrazione dei cataloghi archivistici e bibliotecari in un unico standard digitale permette, già oggi, anche agli enti più piccoli, di accedere a sterminati cataloghi bibliotecari online, altrimenti non fruibili, consentendo la localizzazione di volumi che distano anche a migliaia di chilometri da noi.

La diffusione della cultura della conservazione digitale è, quindi, fondamentale per permettere ai nostri pronipoti di conoscere la nostra storia e di farne tesoro.

Pubblicato in Digital life, Strumenti per il business, Tecnologia per il business | Contrassegnato , , , , | Lascia un commento

Le AI nelle nostre auto (del futuro)

Oggi vi suggerisco la lettura di un libro con spunti di riflessione interessanti in tema di intelligenza artificiale (all’inglese, “AI”) applicata al settore automobilistico, argomento di cui mi sono già occupato in altre occasioni (potete, ad esempio, leggere l’articolo pubblicato ormai più di un anno fa “la cyber security dell’auto connessa è realmente possibile?“).

Il libro che ho appena finito di leggere si intitola L’intelligenza artificiale guida le nostre autovetture, è scritto da Gian Franco Simonini ed edito da Mucchi Editore.

Il libro affronta le questioni ancora non risolte nell’applicazione dell’intelligenza artificiale allo sviluppo dell’auto a guida autonoma, illustrando lo stato dell’arte ed i limiti dell’attuale legislazione, anche sotto il profilo definitorio (cosa si deve intendere, esattamente, per AI?), ma anche i vantaggi di questa tipologia di vetture.

Il libro ha una giusta dose di tecnicismo a corredo di un’approfondita analisi della materia, ma non diventa mai così tecnico e specialistico da scoraggiare il lettore dal proseguire.

Ho trovato particolarmente interessante – forse perché ignoravo aspetti che avrei dovuto conoscere – il capitolo dedicato ai robot, la cui definizione normativa è così “fluida” da risultare spesso inadeguata a descrivere il complesso fenomeno dell’AI, tanto più quando viene integrata ed implementata dal machine learning.

L’Autore spiega, in particolare, che le componenti che si considerano tipiche di un robot sono:
– il corpus mechanicum;
– il corpus mysticum (nella specie, elettronico);
– l’autonomia di comportamento;
– l’assonanza delle sue azioni a quelle umane (human likeness);
– la capacità di relazionarsi con altre entità o soggetti umani, scambiando ed utilizzando informazioni;
– la capacità di autoapprendimento e di adattamento alle situazioni.

Pur in presenza di questi elementi, appare difficile codificare una definizione univoca di robot, perché, allo stato, le AI si caratterizzano per diversi livelli di autonomia decisionale e ciascuna di esse ha funzioni tipiche, difficilmente catalogabili in astratto in un concetto unitario.

Il tema è, come si può immaginare, “caldissimo” perché stabilire quando un robot è da considerarsi un oggetto e quando è (o, meglio, sarà) da ritenersi un soggetto agente, dotato di “personalità elettronica”, ha moltissime implicazioni pratiche ed economiche, non ultima quella relativa all’attribuzione della responsabilità per i danni che queste “entità pensanti” possono causare nel loro agire quotidiano.

Il Parlamento UE si è dimostrato molto sensibile all’argomento, al punto tale da aver già elaborato una Risoluzione “recante raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica”, in cui si prende in considerazione, appunto, la possibilità di attribuire a (certi) robot una vera e propria personalità elettronica, spinti proprio dalla necessità di rispondere al quesito di chi sia, ad esempio, la responsabilità in caso di incidente stradale, quando la scelta della manovra errata è dipesa dalla AI.

Nella seconda parte del libro, si affrontano, invece, i temi legati ai (futuri) vantaggi dell’auto a guida autonoma ma anche gli importantissimi corollari della proprietà dei software che gestiranno queste auto e di tutti i dati del veicolo.

Insomma, il futuro dell’auto senza conducente è sicuramente legato al progresso tecnologico, ma implica altrettante sfide ai giuristi e legislatori per la risoluzione di molti dilemmi morali ed etici, fondamentali per la nostra sicurezza.

Il libro è in vendita in libreria al prezzo di Euro 12,00 oppure è disponibile in versione ebook a Euro 5,09,

Pubblicato in Digital life, Recensioni, Tecnologia per il business | Contrassegnato , , , , , | Lascia un commento

Qual è il futuro dei beacon?

I dispositivi beacon si basano sul sistema di trasmissione bluetoothconsentendo ai device dotati, appunto, di tale tecnologia (praticamente qualunque smartphone) di trasmettere e ricevere piccoli messaggi entro brevi distanze.

Il procedimento di comunicazione avviene attraverso un presentatore (il dispositivo beacon), che si pubblicizza inviando all’esterno un messaggio di identificazione (“sono qui, il mio IP è…”); il ricevitore (ad esempio, una app per smartphone) rileva il dispositivo beacon e svolge il compito assegnato in base alla sua programmazione (inviare avvisi, offrire sconti, accendere o spegnere le luci, etc.) una volta entrato nel raggio d’azione del presentatore.

Si può, quindi, pensare ai beacon come a piccoli fari ripetitori, tant’è vero che l’icona che ne individua la presenza richiama, appunto, la sagoma di un faro.

Negli scorsi giorni, la Collega Avv. Elisabetta Fabio mi ha segnalato (e fatto leggere in anteprima!) un interessante studio preliminare relativo ad un progetto che si basa interamente sull’utilizzo di dispositivi beacon.

Il progetto prevede l’installazione, su di una vasta area pubblica, di una rete di circa 3.500 beacon, attraverso i quali creare un ambiente favorevole per lo sviluppo di progetti
e prodotti innovativi
, con la parallela creazione di una “Open Source library” che mapperà i beacon installati, in aggiunta allo sviluppo di un “Open Source web tool” e di un “Open Source app” per gestire la rete dei beacon.

L’utilizzo dei beacon non è, di per sé, una novità ed anche il nostro Garante se ne è occupato in alcune occasioni: segnalo, ad esempio, il Provvedimento del 25 gennaio 2018 sull’utilizzo di questa tecnologia per monitorare pazienti anziani in una casa di cura ed il Provvedimento del 22 maggio 2018, dove viene esaminato l’utilizzo di un dispositivo che permette di rilevare, in caso di attivazione di un segnale d’allarme, la posizione dei lavoratori che operano in solitaria (trovate entrambi i Provvedimenti nella sezione “documenti utili” del Blog, cliccando qui).

Rispetto a queste utilizzazioni esaminate dal nostro Garante, il progetto cui accennavo sopra si distingue per la sua capillarità sul territorio ed anche per l’elevato numero di soggetti potenzialmente rilevabili dai beacon.

L’installazione ed il conseguente utilizzo di migliaia di beacon – che interagiranno con molteplici applicazioni installate sugli smartphone degli utenti di passaggio, permettendo potenzialmente anche la geolocalizzazione del fruitore del servizio e la sua profilazione sotto svariati aspetti – pone rilevanti questioni in relazione alla protezione dei dati personali degli utenti coinvolti.

Per i Titolari del trattamento (per esempio, una struttura alberghiera all’interno della quale i beacon verranno installati), l’obbligo sarà, innanzitutto, quello di informare, con modalità efficienti e facilmente visibili, i propri clienti del fatto che, nell’area, sono installati tali dispositivi, descrivendo in modo chiaro come poter neutralizzare il rilevamento, se non desiderato (si tratterà, in sostanza, di disattivare il bluetooth, benché ciò potrebbe risultare, in alcuni casi, non facile quando il device dell’utente utilizza questa tecnologia anche per interagire con altri oggetti, come auricolari o smartwatch).

Inoltre, agli sviluppatori/ fornitori della cosiddetta “beacon app“, il GDPR richiede una progettazione molto rigorosa del prodotto o del servizio offerto attraverso i beacon, secondo il principio di privacy by design and by default enunciato dall’art. 25 del GDPR.

Numerosi e complessi saranno, poi, gli adempimenti da porre in essere nel caso in cui la beacon app sia solo un front-end ed i dati transitino dall’applicazione verso un back-end in cloud.

In questo caso, il Titolare del trattamento, oltre a dover dare all’interessato un’informativa chiara, sintetica ma completa in merito all’utilizzo dei dati da parte dell’applicazione, dovrà anche individuare ed attuare adeguate misure tecniche ed organizzative idonee a minimizzare il rischio connesso al trattamento dei suddetti dati “custoditi” in cloud: finalità del trattamento, ambito di raccolta dei dati, tipologia dei dati, trasferimento a terzi, tempi di conservazione, etc..

Se i dati fossero, ad esempio, raccolti con modalità ed in misura tale da integrare un caso di raccolta “su larga scala”, potrebbe anche rendersi necessaria la nomina di un Responsabile della Protezione dei Dati (RPD o, come preferisco, DPO).

Inoltre, nel caso in cui i trattamenti dei dati raccolti tramite l’utilizzo della beacon app servissero per implementare / introdurre una tecnologia “innovativa”, è assai probabile che il Titolare del trattamento dovrà, prima di procedere al trattamento, effettuare una valutazione d’impatto sulla protezione dei dati personali (DPIA  – art. 35 del GDPR).

Questo interessantissimo progetto che ho avuto il piacere di conoscere in anteprima con le sue straordinarie potenzialità, dovrà, insomma, confrontarsi a tutto tondo con il GDPR, dato che chiunque intenderà cimentarsi nello sviluppo di tecnologie basate sulla rete di beacon dovrà necessariamente compiere delicate e ponderate valutazioni, anche tecniche, per garantire (e dimostrare, in base al principio di accountability) il rispetto della tutela dei diritti e delle libertà di ciascun interessato, pena l’applicazione di sanzioni che, com’è noto, possono essere estremamente elevate.

In attesa di conoscere maggiori dettagli su questo progetto, possiamo, comunque, fin da ora tenere conto di quanto prescrive il Garante in merito all’applicazione di questa tecnologia e, cioè, che l’utilizzo dei beacon:

  1. è lecito per la tutela della salute e dell’incolumità delle persone, sulla base di un rigoroso bilanciamento degli interessi in gioco;
  2. deve essere preceduto dal consenso dell’interessato, previa idonea informativa;
  3. deve sottostare ad una rigorosa applicazione del principio di proporzionalità del trattamento, evitando, ad esempio, di esporre gli interessati ad una localizzazione sistematica e continua;
  4. deve rispettare il principio secondo cui le informazioni acquisite non devono essere memorizzate se non per il tempo strettamente necessario a fornire il servizio all’interessato, senza conservazione degli eventi storici;
  5. richiede un riesame costante della validità della tecnologia e della sua compatibilità con i diritti e le libertà degli interessati;
  6. non deve permettere l’identificabilità degli individui che utilizzano questa tecnologia.

Con tali premesse, per i progettisti della futura rete di beacon, la sfida si presenta ardua quasi più sul piano regolatorio che sotto il profilo tecnologico.

Pubblicato in Digital life, Privacy, Tecnologia per il business | Contrassegnato | Lascia un commento

“Regole deontologiche” degli Avvocati secondo il Garante

Pochi istanti prima di Natale, il nostro Garante per la protezione dei dati personali
ha completato la verifica di conformità dei cosiddetti “Codici deontologici e di buona condotta” per i trattamenti di dati personali per scopi storici, statistici, scientifici e investigazioni difensive al Regolamento UE 2016/679 (GDPR).

La verifica, compiuta dal Garante ai sensi del decreto legislativo 101/2018 che ha adeguato il nostro Codice Privacy al GDPR, ha comportato la soppressione o la ridefinizione di alcune previsioni, in considerazione del diverso approccio richiesto ai Titolari del trattamento dal GDPR.

Le disposizioni ritenute conformi sono state ridenominate (con soluzione terminologica non felicissima) “regole deontologiche” e vanno ad integrare, in base a quanto previsto dal citato D.lgs. 101/2018, le condizioni di liceità e correttezza dei trattamenti per:

  1. scopi statistici e scientifici;
  2. fini statistici e di ricerca scientifica nell’ambito del SISTAN;
  3. fini di archiviazione nel pubblico interesse o di ricerca storica e, infine
  4. svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria.

I testi aggiornati, pubblicati in Gazzetta Ufficiale, andranno ad integrare, come Allegato A, il Codice in materia di protezione dei dati personali

In relazione all’ultimo corpus di tali “regole deontologiche” (il cui testo potete consultare anche nella sezione del Blog dedicata alla documentazione utile), segnalo alcuni elementi di interesse per gli avvocati.

In base all’art. 1, le regole deontologiche dettate in tema di trattamento di dati personali per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria riguardano tutti gli avvocati – anche stranieri – o praticanti avvocati “iscritti ad albi territoriali o ai relativi registri, sezioni ed elenchi”, che esercitino l’attività in forma individuale, associata o societaria svolgendo, anche su mandato, un’attività in sede giurisdizionale o di consulenza o di assistenza stragiudiziale, anche avvalendosi di collaboratori, dipendenti o ausiliari.

In base all’art. 2, l’avvocato organizza il trattamento anche non automatizzato dei dati personali secondo le modalità che risultino più adeguate, caso per caso, “a favorire in concreto” l’effettivo rispetto dei diritti, delle libertà e della dignità degli interessati, applicando i princìpi di finalità, proporzionalità e minimizzazione dei dati, sulla base di un’attenta valutazione sostanziale e non formalistica delle garanzie previste, nonché di un’analisi della quantità e qualità delle informazioni che utilizza e dei possibili rischi.

Sempre in base all’art. 2, anche le istruzioni da impartire per iscritto alle persone autorizzate ad al trattamento dei dati devono essere formulate come concrete indicazioni delle modalità da osservare, in funzione del diverso ruolo rivestito da ciascuno.

Viene, inoltre, espressamente richiesto che sia posta particolare attenzione all’adozione di idonee cautele per prevenire l’ingiustificata raccolta, utilizzazione o conoscenza di dati, soprattutto in alcuni momenti del rapporto professionale, tra i quali segnalo i seguenti:

  1. acquisizione anche informale di notizie, dati e documenti connotati da un alto grado di confidenzialità o che possono comportare, comunque, rischi specifici per gli interessati;
  2. scambio di corrispondenza, in particolare per via telematica;
  3. esercizio contiguo di attività autonome all’interno di uno studio;
  4. utilizzo e distruzione di dati riportati su particolari dispositivi o supporti, specie elettronici (ivi comprese registrazioni audio/video), o documenti (tabulati di flussi telefonici e informatici, consulenze tecniche e perizie, relazioni redatte da investigatori privati);
  5. custodia di materiale documentato, ma non utilizzato in un procedimento e ricerche su banche dati a uso interno, specie se consultabili anche telematicamente da uffici dello stesso titolare del trattamento situati altrove;
  6. acquisizione di dati e documenti da terzi, verificando che si abbia titolo per ottenerli;
  7. conservazione di atti relativi ad affari definiti.

Viene, inoltre, evidenziato che devono considerarsi utilizzati lecitamente e secondo correttezza:

  • i dati personali contenuti in pubblici registri, elenchi, albi, atti o documenti conoscibili da chiunque, nonché in banche di dati, archivi ed elenchi, ivi compresi gli atti dello stato civile, dai quali possono essere estratte lecitamente informazioni personali riportate in certificazioni e attestazioni utilizzabili a fini difensivi;
  • atti, annotazioni, dichiarazioni e informazioni acquisite nell’ambito di indagini difensive, (…), evitando però l’ingiustificato rilascio di copieche fossero eventualmente richieste.

Sotto il profilo pratico, ritengo sia una significativa semplificazione in tema di informative quanto previsto dall’art. 3, secondo cui “L’avvocato può fornire in un unico contesto, anche mediante affissione nei locali dello Studio e, se ne dispone, pubblicazione sul proprio sito Internet, anche utilizzando formule sintetiche e colloquiali, l’informativa sul trattamento dei dati personali (art. 13 del Regolamento)“.

Per quanto riguarda il tempo di conservazione dei dati, l’art. 4 prevede che
la definizione di un grado di giudizio o la cessazione dello svolgimento di un incarico non comportano un’automatica dismissione dei dati.

Pertanto, una volta estinto il procedimento o il relativo rapporto di mandato, atti e documenti attinenti all’oggetto della difesa o delle investigazioni difensive possono essere conservati, in originale o in copia e anche in formato elettronico, qualora risulti necessario in relazione a ipotizzabili altre esigenze difensive della parte assistita o del titolare del trattamento.

Se è prevista la conservazione dei documenti per adempiere ad un obbligo normativo specifico – per esempio, in materia fiscale – possono essere custoditi solamente dati personali effettivamente necessari per adempiere al suddetto obbligo.

Ricordo, infine, che, in base all’art. 7 le disposizioni sopra richiamate si applicano “salvo quanto applicabile per legge unicamente all’avvocato”anche a liberi professionisti che prestino o su mandato dell’avvocato o unitamente a esso o, comunque, nei casi e nella misura consentita dalla legge, attività di consulenza e assistenza per far valere o difendere un diritto in sede giudiziaria o per lo svolgimento delle investigazioni difensive.

Benché queste “regole deontologiche” non introducano novità significative per chi esercita la professione di Avvocato, aver ribadito o specificato espressamente le regole per determinati profili del trattamento dei dati da parte dei professionisti, ha il pregio di evitare dubbi interpretativi, consentendo a tutti di muoversi all’interno di un quadro normativo preciso e – si spera – condiviso di regole.

Pubblicato in Privacy, Strumenti per il business | Contrassegnato , , | Lascia un commento