loader image

L’App della discordia: Immuni

La privacy in un’App: ecco quello che ha destato gli animi in questi primi giorni dall’avvio della Fase 2.

Il nuovo Coronavirus ha suscitato grande apprensione, paura e tensione anche mediatica, non solo sotto il punto di vista prettamente sanitario, ma anche per quello che sarà il trattamento dei dati personali e sanitari nell’App voluta dal Governo. Dopo settimane di previsioni, ipotesi e studi da parte degli sviluppatori sul suo funzionamento, finalmente il Governo ha chiarito i punti ritenuti più fumosi che dividono gli animi degli italiani in due fazioni. Inutile dire che uno non riesce a convincere l’altro delle proprie ragioni, alla cui base si trova la protezione dei dati di cui l’App si nutre.

Immuni è l’App della discordia?

Nonostante gli Ingegneri e gli Sviluppatori abbiano sempre rassicurato l’opinione pubblica offrendo spiegazioni a tutto tondo sul suo funzionamento, essi non sono mai riusciti a sopire le critiche feroci, offrendo così il fianco al dilagare di fake news e di parole interpretate a metà. Probabilmente, anche il ritardo del Governo nell’offrire garanzie e sicurezze ai futuri utenti non ha di certo aiutato coloro che stanno occupando le proprie energie a sviluppare uno strumento che potrebbe rivelarsi fondamentale per ognuno di noi, nel vero senso della parola.

In via definitiva, quale tecnologia utilizzerà l’App Immuni? Qual è il metodo di invio-ricezione dei dati da un dispositivo all’altro?

Il Consiglio dei Ministri concluso intorno alla Mezzanotte di Mercoledì 29 Aprile, ha confermato che l’App funzionerà via BLE-Bluetooth Low Energy. Tale tecnologia permette lo scambio di dati tra dispositivi via bluetooth. Regolarizzando il flusso di energia utile per compiere il passaggio della comunicazione, si avrà una preservazione della durata della batteria permettendo all’App di girare senza decimare l’autonomia giornaliera dello smartphone. L’App utilizzerà quindi una tecnologia già diffusa e ampiamente utilizzata da informatici e tecnici sviluppatori e ciò ha semplificato di gran lunga tutto il processo decisionale sul funzionamento della stessa, poiché non è stato necessario studiare e testare nuovi metodi di trasmissione dati, nel rispetto di protocolli di sicurezza informatica e privacy.

L’invio-ricezione dei dati è “semplice”: lo smartphone genera dei codici identificativi temporanei alfanumerici e, nel momento in cui ci si trova in prossimità di un’altra persona che ha attivato Immuni, i due dispositivi si scambiano “una stretta di mano virtuale”, registrando così i rispettivi codici. L’anonimato è assicurato da diversi elementi che caratterizzano tale App: i codici alfanumerici non sono riconducibili allo smartphone e, di conseguenza alla persona fisica che lo utilizza (via codice IMEI e/o altri codici che identificano univocamente il soggetto cui il dispositivo appartiene). I codici mutano ogni 10-15 minuti, anche per evitare una possibile geolocalizzazione della persona.

Così il Consiglio dei Ministri: “[…]il trattamento effettuato per il tracciamento dei contatti sia basato sui dati di prossimità dei dispositivi, resi anonimi” o associati a un codice identificativo temporaneo; è esclusa in ogni caso la geolocalizzazione dei singoli utenti”. I contatti saranno tracciati solo con il bluetooth. Anche se dovessero essere associati a un indirizzo ip riconoscibile, saranno adottate misure per dissociare quell’indirizzo dal possessore del cellulare[…].” (fonte:https://www.repubblica.it/politica/2020/04/30/news/cdm_governo_app_immuni_giustizia_scarcerazioni-255224818/)

App Immuni

Nasa e Immuni: cos’hanno in comune?

Ovviamente, gli sviluppatori dell’App stanno lavorando al fine di permettere il download di Immuni sia da dispositivi Apple, sia Google. Questa collaborazione nasce dall’evenienza di creare una piattaforma che comunichi facilmente e senza i limiti cui siamo sempre abituati sia se si utilizza un dispositivo piuttosto di un altro. L’idea di un’App che tracci in completo anonimato e garantendo l’impossibilità di geolocalizzare le persone è resa possibile grazie all’utilizzo di protocolli di massima sicurezza quale l’Advanced Encryption Standard, ovvero il protocollo matematico adottato dalla Nasa per proteggere i suoi file. Le regole di funzionamento dell’AES sono considerate le più sicure e le più utilizzate al mondo, sono pubbliche e liberamente accessibili da tutti. Quindi, i dati raccolti da immuni saranno “cifrati secondo questo standard, tutti i dati raccolti dall’app di tracciamento – che comunque saranno già anonimi, stando all’attuale versione del progetto – verranno quindi convertiti seguendo delle regole matematiche che ne garantiscono l’inaccessibilità a chiunque non possieda le chiavi di autorizzazione”  (fonte: https://www.wired.it/internet/web/2020/04/24/apple-google-contact-tracing/?utm_medium=marketing&utm_campaign=wired&utm_source=Facebook).

Dove finiscono i miei dati caricati sull’App? Come si fa a capire se ho incontrato un soggetto positivo al CoViD-19? Chi potrà consultarli?

Una volta scaricata l’App, si dovranno inserire i propri dati personali e sanitari relativi al proprio stato di salute. Probabilmente -i lavori sono ancora in esecuzione e sono ancora molti i punti in questione che devono essere analizzati e sviluppati- l’App chiederà ogni giorno il proprio stato di salute, se ci sono alterazioni febbrili o sintomi riconducibili al virus. Una volta registrati tali dati, l’App comunicherà le informazioni con gli altri dispositivi presenti nelle immediate vicinanze e, a sua volta le raccoglierà. Due dei nodi da sciogliere in questa questione sono la conservazione dei dati scaricati e come avverrà la comunicazione di un possibile contagio sia al soggetto “intestatario” dell’App, sia al medico-Azienda sanitaria. Probabilmente-ed il Governo dovrà esprimersi a breve- i dati saranno conservati in-cloud su server italiani a gestione italiana e ciò dovrebbe rassicurare i più, in quanto nessun dato raccolto sarà comunicato, trasmesso, diffuso e trattato se non dalle autorità competenti italiane presenti su suolo italiano. In caso di sospetto contagio, l’App dovrebbe segnalare il pericolo via messaggio e, a questo punto e a quanto sembra, un avviso sarà inviato anche al medico-struttura sanitaria. Una volta al giorno le App scaricheranno i dati e li comunicheranno ai centri sanitari. Grazie all’incrocio dei codici alfanumerici sarà probabilmente possibile risalire al contagiato e fornirgli informazioni utili su come gestire la propria quarantena e le cure da effettuare.

Se l’App raggiungerà il download del 60% della popolazione diventerà legge?

Assolutamente no. Intanto il processo di iter legis italiano non prevede nulla del genere: la fase dell’iniziativa legislativa e di sottoposizione dei progetti di legge al Parlamento è delineata dalla Costituzione. Probabilmente, la confusione è nata dal fatto che, oltre al Governo, ai membri del Parlamento, al Consiglio Regionale e ad altri organi ed enti riconosciuti dalla Costituzione quali aventi potere di iniziativa legislativa, anche il corpo elettorale può proporre tali iniziative. Ebbene, il corpo elettorale può presentare il testo di legge solo se sottoposto alla firma di almeno 50.000 elettori, i quali sottoporranno al Parlamento la propria richiesta dando così avvio all’iter legis ordinario. Quindi, il famoso 60% della popolazione è da intendersi come percentuale minima di download dell’App affinché essa possa funzionare al massimo delle proprie potenzialità, garantendo così al 40% della popolazione restante di rimanere sotto uno “scudo di protezione”. Ovviamente, più persone scaricano l’App e più possibilità essa ha di incrociare i dati per evitare la diffusione del contagio. Inoltre, proprio durante la nottata di Mercoledì 29 Aprile, il Presidente del Consiglio dei Ministri ha dichiarato l’assoluta libertà di scelta di scaricare o meno l’App, dichiarando che “[…]Non ci sarà poi nessuna conseguenza se si decide di non utilizzare la app ed è “assicurato il rispetto del principio di parità di trattamento”[…]” (fonte:https://www.repubblica.it/politica/2020/04/30/news/cdm_governo_app_immuni_giustizia_scarcerazioni-255224818/)

Immuni? Tanto cediamo i nostri dati in qualunque momento. VS. L’app che ci spierà

Sostanzialmente, sono queste le due anime che alimentano critiche e prese di posizione di questa App. Vero è che nel momento in cui si scarica una qualsiasi applicazione (da quelle della musica, a quelle che contano i passi, sino a quelle di cucina) si “cedono” i propri dati personali allo sviluppatore, al fine di poter usufruire dei contenuti. Fermo restando su quanto affermato sinora dal Governo e in virtù delle normative sulla protezione dei dati ed informatiche, l’App immuni non controllerà, non spierà e non traccerà in modo alcuno gli spostamenti di coloro che hanno effettuato il download. Il Governo, così come gli sviluppatori, ha da sempre puntato l’attenzione sull’utilità di un sistema che ha come obiettivo primario quello di evitare la diffusione dei contagi da coronavirus, assodando tale tesi con protocolli informatici che assicurano l’effettiva impossibilità di procedere con il tracciamento. Ogni giorno si “buttano” i dati in pasto al web, ma non è questo il caso. Qui, si può affermare che il processo equivale al tesseramento di un supermercato, senza però ricevere in futuro offerte promozionali da parte di terze parti. Inoltre, l’App voluta dal Governo non si approprierà di dati che, sostanzialmente, non la riguardano ed il pericolo che essa possa “leggere” codici e file esulanti dal suo funzionamento è davvero bassa.

L’apporto etico e morale di un’App voluta “dall’alto”

Sicuramente l’elemento che frena gli italiani a vedere di buon occhio prima, e scaricare poi, questa App è la sensazione di essere violati nella propria decisione di scelta.

La scelta, così come la facoltatività e la decisione sono elementi indiscutibili ed insindacabili per tutti noi che vediamo nella libertà uno degli elementi imprescindibili del nostro essere cittadini.

Non è qui volontà di politicare su cosa e come il Governo avrebbe dovuto presentare un’App che dovrebbe mettere al sicuro la maggior parte degli italiani da questo virus così aggressivo, ma una riflessione è comunque dovuta: la parvenza di controllo che si ha avuto ha messo sull’attenti tutti, creando situazioni di panico e di sospetto, sino ad arrivare ad una vera e propria spaccatura tra coloro che sostengono l’App e quelli che, invece, la percepiscono come una limitazione del proprio essere liberi. Però, la morale e l’etica dovrebbero sempre agire anche nella decisione consapevole di consegnare al web o a terzi i propri dati: la protezione dei dati è importante non solo quando è voluta dal Governo per vie traverse, ma sempre. In qualunque circostanza. È vero, Immuni “leggerà” la nostra condizione sanitaria, la quale è, però, tanto importante quanto la nostra vita privata, il nostro essere, la nostra situazione sentimentale…

Termoscanner e lavoro

CoViD-19 e Privacy: le rassicurazioni sul trattamento dei dati sanitari

Sono mesi concitati quelli che stanno muovendo le nostre giornate. La pandemia CoViD-19 ha portato con sé numerosi interrogativi sia sotto il profilo prettamente sanitario e socio-politico, sia su un argomento sinora presente, ma lasciato ai margini delle preoccupazioni quotidiane: il trattamento dei dati personali.

Desiderose di intraprendere ogni misura di sicurezza sanitaria garantendo la protezione dei dati dei propri dipendenti, le aziende hanno sollevato e sottolineato sin da subito numerose questioni vertenti soprattutto sulla liceità delle finalità del trattamento dei dati sanitari dei dipendenti. Le risposte dal Garante per la protezione dei dati sono arrivate in poco tempo, lasciando però tracce di chiaro-scuro su quelli che sono i punti caldi del tema “trattamento dei dati personali al tempo dei CoViD-19”: dalla possibilità di misurare la temperatura ai propri dipendenti per evitare il contagio in azienda, alla comunicazione dei dati sanitari rilevati alle ASL e medici competenti, sino al termo-scanner di cui si accenna in questi giorni che hanno dato avvio alla Fase 2.

Nonostante la situazione così mutevole, il Garante Privacy ha da subito posto alcuni capisaldi nel trattamento dei dati: non  ha fatto divieto di utilizzare metodi e strumenti per garantire l’integrità fisica ai dipendenti delle aziende che hanno deciso di attuare misure di controllo della diffusione del virus, appellandosi sempre ai principi di liceità e trasparenza, affinché si possa continuare a garantire il massimo rispetto delle norme sanitarie imposte dal Governo unitamente a quelle Privacy prefissate dal GDPR.  Il Garante ha dunque provveduto ad emanare numerose linee guida e vademecum per permettere ai Titolari d’impresa di agire serenamente, ricordando anche che il trattamento dei dati sanitari deve essere sempre e comunque sottoposto a maggiori restrizioni e controlli, proprio per evitare la diffusione di dati riguardanti lo stato di salute delle persone. Tali misure si ricalcano nuovamente ai capisaldi della Privacy: raccogliere, trattare e comunicare i dati dei propri dipendenti solo per reale necessità agli organi competenti in materia di salute e sanità, di eliminare i dati nel momento in cui non sono più necessari, evitare la trasmissione di tali dati a terzi per “sola conoscenza” e la profilazione dei dipendenti. Dal canto suo, il dipendente deve essere informato sotto ogni aspetto del trattamento di dati sanitari, consci del periodo straordinario in cui stiamo vivendo. Inoltre, può richiedere in qualsiasi momento maggiori informazioni su chi tratta e detiene i suoi dati, nonché sui propri diritti che sono tuttora tutelati e garantiti dal GDPR.

Per le aziende, la nuova Fase 2 è rappresentata dal ritorno del termo-scanner (strumento già adottato da alcune imprese all’inizio della vicenda). L’uso di questo dispositivo non è considerato illecito dal Garante, bensì uno strumento che presenta una doppia faccia della stessa medaglia, ma comunque entrambe gestibili se sfruttate diligentemente e con criterio. Azienda e dipendente si trovano quindi ad essere vigilante e vigilato ed il secondo può anche sentir violati i propri diritti alla riservatezza e privacy. D’altronde, essere sottoposti a controlli così mirati e di natura sanitaria non rientra nella nostra routine lavorativa… e qui entra in gioco il ruolo del Titolare dell’azienda, il quale dovrà essere in grado di fornire informazioni dettagliate e trasparenti per garantire e dimostrare la liceità di questo trattamento straordinario.

“Spetta pertanto alle aziende che adottano i termoscanner di rassicurare gli utenti sul rispetto delle norme del Gdpr, avendo cura di espletare i vari adempimenti previsti dalla normativa sulla protezione dei dati personali, a partire dalla verifica della liceità del trattamento fino all’informativa da dare agli interessati” (fonte: https://www.federprivacy.org/informazione/punto-di-vista/covid-19-nella-fase-2-largo-ai-termoscanner-tra-business-e-sfide-sul-rispetto-della-privacy).

Da una parte la volontà del Titolare di garantire un ambiente di lavoro sicuro e sano, dall’altro il possibile e repentino diniego di sottoporsi a verifiche quotidiane sulla propria salute fanno intendere che i mesi che seguiranno non saranno proprio dei più idilliaci. L’importante, però, è garantire trasparenza: grazie al rispetto di tal principio, si possono superare anche gli ostacoli derivanti dalla volontà di proteggere la propria riservatezza.

Coronavirus vs. Garante Privacy

Nemmeno il coronavirus ferma le attività del Garante Privacy.

Nonostante le numerose ed invasive misure di sicurezza e prevenzione adottate a livello nazionale (se non globale), il Garante Privacy ha provveduto con un Comunicato Stampa ad emanare le sue linee guida per assicurare il mantenimento della liceità del trattamento dei dati sanitari nelle aziende.

Con tale comunicazione, il Garante ha espresso il dovere delle aziende di non ricorrere a misure “fai da te” per controllare lo stato di salute dei dipendenti, anche in questo caso di necessità di prevenzione e tutela dello stato di salute dei lavoratori.

Coronavirus e protezione dei dati

Dunque, per il Titolare dell’attività è fatto divieto di rilevazione della temperatura dei suoi lavoratori e di sottoporli a visite o a chiedere dettagli sulla provenienza e sulla destinazione di un viaggio, in quanto questi compiti non rientrano nelle mere mansioni del datore di lavoro che devono esaurirsi all’interno del rapporto lavorativo. Anche se tali divieti in questo frangente di allarme epidemico possono sembrare un controsenso, il Garante afferma che il datore di lavoro può e deve invitare i propri dipendenti a comunicare il loro stato di salute ai centri medici e agli organi preposti e/o attivare dei canali di agevolazione della comunicazione tra dipendenti e strutture sanitarie. Inoltre, il Titolare dell’impresa ha l’obbligo di comunicare agli organi sanitari la “variazione del rischio biologico” nel suo ambiente lavorativo, nel caso in cui uno o più dipendenti rientrano nei casi sospetti di coronavirus. Saranno poi quindi le persone autorizzate alla raccolta e trattamento dei dati sanitari, ovverosia i medici, ad occuparsi della situazione.

Una particolare attenzione è stata posta dal Garante nei confronti di tutti coloro che lavorano a contatto con il pubblico: anche in questo caso, datore e lavoratore dovranno collaborare avvisando le unità medico-sanitarie nei casi di sospetto contagio, seguendo le istruzioni impartite dal Ministero della Salute.

Certo è che in questo momento il controllo della salute propria e delle persone con cui entriamo a contatto risulta essere necessario per prevenire la diffusione del virus, ma la prevenzione, secondo quanto decretato dal Garante per la Protezione dei Dati, non deve essere un pretesto per controllare e raccogliere dati sanitari relativi ai lavoratori. Questo compito deve quindi riguardare esclusivamente le strutture preposte ad effettuare tali trattamenti (sia medico-sanitari, sia in ambito privacy). E se siete datori di lavoro e volete proteggere voi, le vostre famiglie e i vostri dipendenti?… La risposta del Garante è chiara: evitate le misure che potrebbero farvi incorrere in sanzioni per trattamento illecito di dati…  

Insomma, quando la necessità di proteggere i propri dati viaggia di pari passo con la necessità globale di preservare la propria ed altrui salute.

Fonte: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117

[DISPLAY_ULTIMATE_SOCIAL_ICONS]

Chiamate mute

Squilli e chiamate: quando l’interlocutore è un fantasma

Mai più di oggi un Provvedimento del Garante per la Protezione dei Dati Personali del 2014 è stato così attuale, nella giungla dei call center e delle chiamate indesiderate.

Numeri con prefissi improbabili, squilli insistenti da seminare il panico. Il primo pensiero di ognuno di noi è “E’ successo qualcosa?!”, rispondiamo con l’ansia in gola e… muto. Al massimo un freddo, impersonale e meccanico “Goodbye”. Non sono chiamate da altre dimensioni, semplicemente dai call center che, ancora una volta, sperimentano nuove strategie di telemarketing, effettuando quella che è in piena regola una chiamata muta.

Il Garante per la Protezione dei Dati Personali ha così definito quel tipo di chiamata che, quando si alza la cornetta, dall’altro capo del filo non risponde nessuno creando così uno stato che “può indurre comprensibili stati di ansia, paura e disagio nei destinatari” (Provvedimento generale a carattere prescrittivo sulle c.d. ´chiamate mute´ – 20 febbraio 2014). La strategia perseguita con queste telefonate è molto semplice ed efficace, quanto indiscutibilmente inquietante: poiché gli addetti alle chiamate non possono effettuarne più di una contemporaneamente, esse partono in automatico spuntando la lista contatti caricata dall’addetto. Se nel momento in cui l’utente risponde alla chiamata l’operatore è impegnato in un’altra conversazione, allora il telefono rimane muto e, dopo un paio di secondi, si stacca la telefonata, lasciando così l’utente interdetto e innervosito.

Onde evitare gli stati di ansietà e di disagio, il Garante Privacy ha stilato delle regole per le chiamate mute, quali: non far durare la chiamata muta per più di 3 secondi dalla risposta dell’utente, effettuare tre chiamate mute ogni cento andate a buon fine, il divieto di ricontattare l’utente vittima di chiamata muta prima di una settimana dall’evento e garantendo la presenza di un operatore all’altro capo del telefono. Particolare attenzione è stata posta dal Garante Privacy alla sensibilità e alla percezione delle persone coinvolte in questi episodi. I call center, sia che l’utente sia messo in attesa dall’operatore o che sia vittima di una chiamata muta, devono attivare il “comfort bruise”, ossia un rumore in sottofondo che ricordi quello delle tipiche attività svolte in azienda, quale vocio e squilli. In questo modo, dice il Garante Privacy, l’utente è accolto in un ambiente famigliare e non si sente in qualche modo vittima di situazioni ambigue. È anche vero, però, che bisogna prestare attenzione alla combinazione di numeri che appare sul display del telefono: molte sono state le truffe ai danni degli utenti per aver risposto a telefonate provenienti da Stati UE/non UE, riportanti prefissi che, solitamente, non siamo abituati a vedere e riconoscere. L’ultima tranche di truffe è partita dalla Tunisia con prefisso +216. È buona norma evitare di rispondere a contatti riportanti dei prefissi e dei numeri di dubbia provenienza, nonché cercare di non rispondere a domande inerenti ai propri dati personali: un “sì” alla domanda “sto parlando con Mario Rossi?” potrebbe nascondere l’intento di utilizzare il vostro nominativo per dei fini poco chiari.

Ah, e quel “Goodbye!” che ogni tanto si ode allo scadere dei tre secondi? È semplicemente un saluto che pone fine al tempo utile per l’operatore di acchiappare la chiamata e staccare così la linea. Un modo un po’ grottesco di ringraziarci per questi tre secondi così preziosi…

Fonte:https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3626528

Provvedimento del Garante: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3017499

sanzioni

Prime sanzioni del Garante

Certo non è mai troppo tardi. A quattro anni dall’entrata in vigore del GDPR, due dalla sua attuazione e periodi di “prova” e di sospensione del regime sanzionatorio, è arrivata l’ora anche per il Garante per la Protezione dei Dati Personali italiano di attivarsi e di adempiere anche ai suoi, di obblighi. E come iniziare al meglio la propria attività se non iniziando a verificare il livello di attuazione della nuova normativa in materia di protezione dei dati?

Beh, non possiamo certo dire di non aver avuto tempo a sufficienza per regolarizzare le nostre posizioni e i nostri documenti, eppure le sanzioni stanno cogliendo impreparati i più.

sanzioni
Prime sanzioni del Garante

Si sa, i colossi della telefonia sono sempre sotto attacco e sotto assedio: a causa della poca volontà (o poco ritorno…) di mettersi in pari con i compiti a casa, queste sono le aziende che hanno subìto quasi nell’immediatezza le conseguenze di telefonate e messaggi commercial-promozionali mandati a tappeto, anche a coloro che erano iscritti al Registro delle Opposizioni o non desideravano essere ricontattati.

Da qualche anno a questa parte il personale dipendente di aziende, scuole e pubbliche amministrazioni può usufruire di uno strumento molto utile per segnalare casi reali o presunti di illecito a cui ha avuto la sfortuna di assistere, o osservare. Si tratta del Whistleblowing (letteralmente “soffiatore nel fischietto”), ovvero di un iter di denuncia anonima del fatto. L’Ateneo coinvolto in questo caso si è “dimenticata” di ripristinare ed implementare le misure adeguate di sicurezza a seguito dell’aggiornamento software della piattaforma utilizzata dall’Università. Così, le informazioni riservate concernenti denunce e nomi sono rimasti leggibili ed indicizzate da alcuni motori di ricerca. L’Università è intervenuta sulle cache, cancellandone copia e deindicizzando ogni riferimento scappato dalla rete della privacy. Per la mancata adozione di linee adeguate di sicurezza, l’Ateneo ha così dovuto pagare un pegno di 30.000 Euro per la sua disattenzione… o superficialità.

La curiosità porta solo guai… come quelli che hanno bussato alla porta di uno specializzando, di un radiologo e di un terzo soggetto -che ha utilizzato le credenziali incustodite di un medico- hanno effettuato l’accesso ai dossier sanitari dei propri colleghi. La struttura sanitaria ha scoperto questo “slancio di interesse” tra colleghi effettuando i periodici controlli informatici. Intervenuto il Garante Privacy, è stato appurato che le misure tecniche e adeguate di sicurezza non corrispondevano alle linee guida emanate dall’Autorità in materia di Dossier Sanitario nel 2015. Anche qui la sanzione ammonta a 30.000Euro.

È inutile… la curiosità si paga cara e le misure adeguate di sicurezza devono essere costantemente controllate e implementate per mantenere un alto livello di sicurezza, per evitare di mettere nei guai i propri clienti e dipendenti. …e per non dover aprire il portafoglio…

Il diritto alla quiete

2 milioni di telefonate e 22 milioni di sms. No, non sono i messaggi che inviamo e le chiamate che effettuiamo nell’arco della vita, ma sono i contatti promozionali che Vodafone ha recentemente inoltrato ai consumatori che, stanchi di essere letteralmente sommersi dalle offerte indesiderate e non richieste, hanno sporto denuncia al Garante della Privacy. L’Autorità ha messo un freno al “telemarketing selvaggio”, dopo aver scoperto che, tra l’altro, la compagnia telefonica trattava i dati di clienti che non avevano dato alcun consenso per essere contattati. Anche Wind-Tre, compagnia nata da H3G, ha agito alla stessa maniera, utilizzando dati senza consenso, anche di chi aveva espressamente richiesto l’opposizione al trattamento dei suoi dati di contatto, poiché quei numeri risultano non essere mai stati inseriti all’interno delle black list della compagnia telefonica.

Tutti abbiamo diritto alla quiete e a non sentire squillare il telefono che ci costringe ad una corsa precipitosa per rispondere al numero sconosciuto o privato, per poi scoprire che si trattava di vendita e di offerte delle più disparate. Il GDPR, ovvero il Reg. UE 679/2016, non cita espressamente il telemarketing, ma nel considerando 39 e agli Artt. 5, 13 e 14 co. 2 del GDPR viene affrontato ciò che mina le fondamenta di questo nuovo mercato, ovvero il lasso temporale per cui i dati possono essere trattati e conservati presso l’azienda.

Per ciò che concerne l’invio e la ricezione delle newsletter, la questione è molto semplice: ora le aziende che effettuano tali operazioni devono scrivere, all’interno di ogni mail che spediscono, le modalità attraverso cui l’utente può richiedere o effettuare autonomamente la disiscrizione dal servizio, al fine di evitare di conservare troppo a lungo i dati dei consumatori. Si può dire che la decisione se continuare a ricevere mail pubblicitarie è una decisione diretta del consumatore. A seguito dell’entrata in vigore del GDPR, le newsletter possono essere inoltrate nel momento in cui l’utente acconsente liberamente ed espressamente al trattamento dei suoi dati per il fine pubblicitario (consenso che, ricordiamo, può essere sempre e in qualsiasi revocato). Per contro, il consenso non deve essere richiesto se sul sito web è presente un box di iscrizione apposito “newsletter” che il cliente può compilare per ricevere le comunicazioni commerciali. Se decide di non ricevere più tali comunicazioni, spesso è sufficiente cliccare su una dicitura quale “clicca qui per annullare l’iscrizione alla newsletter”: da quel momento, il mittente non è più autorizzato alla trasmissione di comunicazioni commerciali.

Per quanto riguarda le telefonate provenienti da call center, è possibile iscriversi al registro delle opposizioni (disciplinato dalla L. 05/2018: disposizioni in materia di iscrizione e funzionamento del registro delle opposizioni): qualunque chiamata di telemarketing si dovesse ricevere senza aver espressamente manifestato la volontà di essere contatti, diventa sanzionabile. La stretta è arrivata qualche mese fa, a seguito di continue telefonate anche a quei consumatori che avevano declinato il ricontatto, forti anche della loro iscrizione al registro.

Con la stretta del GDPR, le aziende devono prestare la massima attenzione per non contattare coloro che vogliono rimanere anonimi al telemarketing. Certo è che i grandi colossi di questo nuovo ramo del mercato, o quelle aziende e società che si appoggiano a loro per vendere pacchetti ed offerte, sono nell’occhio del ciclone e sono tenuti a trattare i dati personali responsabilmente, verificando costantemente chi effettivamente ha espresso il consenso per essere chiamato, perché ogni consumatore ha il diritto di decidere a chi consegnare i suoi dati di contatto.

Intanto, il Garante Privacy ha agito contro le compagnie di telefonia avviando procedure sanzionatorie e vietandole di contattare i consumatori che non avevano prestato il consenso e sono state sollecitate a rivedere le loro politiche aziendali in ambito marketing. Ancora, devono aggiornare quotidianamente le loro liste di contatti, proprio per assicurare al consumatore di non ricevere chiamate indesiderate.

Facebook, ovvero la vetrina su casa mia.

Mark Zuckerberg

Non ha più senso parlare di riservatezza online, le norme sociali sono cambiate” così esordiva il CEO di Facebook Mark Zuckerberg in una delle sue interviste, affermando inoltre che ormai nessuno ha problemi a condividere i propri dati personali sul social network, puntando il dito contro gli utenti e sentendosi così (quasi) legittimato ad effettuare  trattamenti illeciti di dati personali.

 

Non passa giorno che non postiamo foto, inviti e partecipazioni ad eventi, idee ed opinioni su tutto quello che succede perché ormai, diciamolo onestamente, siamo diventati tutti molto social. Viviamo nella ferma convinzione che se non si posta sul social network del momento una foto comprensiva di geolocalizzazione e stato d’animo annesso e non completiamo la frase “in compagnia di…” ci sentiamo esclusi dalla vita sociale. Ebbene, crediamo di non nuocere a nessuno se rendiamo partecipi i nostri 800 amici  di quello che stiamo vivendo, dimenticandoci che dare informazioni su di noi, su ciò che facciamo e dove ci troviamo diventa una ghiotta occasione per chi, con queste informazioni, ci lavora smuovendo dati e capitali – intesi proprio nel vero termine della parola. A causa della poca trasparenza di Facebook e dalla leggerezza dell’utente, è proprio quest’ultimo a pagare le conseguenze maggiori vedendo i suoi dati ceduti ad agenzie di marketing, ma non solo, senza aver fornito consenso alcuno rimanendo così vittima di trattamenti illeciti di dati personali.

L’ultimo caso che ha coinvolto il colosso Facebook è quello di Cambridge Analytica, per cui Zuckerberg è stato chiamato da Europa e Stati Uniti per giustificare l’utilizzo irregolare ed illecito dei dati di circa 50 milioni di utenti (dichiarati dallo stesso Zuckerberg come molti di più), al fine di manipolare e guidare le ultime elezioni americane che hanno visto gli staff politici coinvolti nella corsa elettorale impegnati nello studio dei profili degli elettori americani.

I Senatori americani Amy Klobuchar e John Kennedy affermano che il problema di fondo si trova nell’enorme quantità di dati ammassati da Facebook, Google e Twitter, colossi che si sentono autorizzati a trattarli “quando vendono pubblicità, compresa pubblicità politica”. L’utente Facebook pensa che la sua bacheca sia protetta dalla privacy, ma numerosi e complicati algoritmi calcolano le preferenze, gli stati d’animo, i like e i desideri delle persone consentendo, nel caso dello scandalo di Cabridge Analytica, di studiare slogan e discorsi a tavolino che il futuro presidente americano dovrà tenerr alla comunità. Insomma: diamo al popolo ciò che il popolo vuole.

Il caso di Cambridge Analyitica non è l’unico in cui Zuckerberg e la sua azienda sono coinvolti. nell’ultimo periodo infatti, egli è stato accusato di aver concluso dei contratti che prevedevano la cessione di dati personali tra lui e le compagnie produttrici di smartphones, anche qui per carpire illegittimamente informazioni sulle preferenze degli utenti.

Insomma, per concludere si può dire che quello che spetta al nuovo regolamento europeo è un compito arduo: da una parte punta a proteggere sempre di più i dati forniti online da utenti europei e dall’altra vuole responsabilizzare le persone, cercando di consapevolizzarle sul pericolo di vedere i propri dati utilizzati per fini manipolatori. Quel che è certo, è che gli scandali Facebook dovrebbero far capire a tutti noi “utenti social” che dobbiamo essere più consapevoli dell’importanza che hanno i nostri dati personali.

 

Fonti:   www.corriere.it            www.garanteprivacy.it            www.federprivacy.org

 

 

Privacy, cosa cambia. Intervista al Segretario del Garante.

Incontrato ed intervistato dal giornalista de “Il Sole 24 Ore” Antonello Cherchi, il Segretario Generale del Garante della Privacy, Avv. Giuseppe Busia, chiarisce alcuni punti essenziali del nuovo regolamento europeo 679/2016 entrato in vigore il 25 maggio scorso.

Nonostante il GDPR (acronimo di General Data Protection Regulation – regolamento europeo sulla protezione dei dati personali) sia stato approvato dall’Unione Europea due anni fa, l’Italia non ha ancora recepito la normativa europea, causando un vuoto normativo all’interno del nostro ordinamento. Il Decreto Legislativo, fermo presso il nostro Parlamento, avrà quindi il compito di abrogare le norme italiane in contrasto con quelle europee sancite dal GDPR e chiarificherà le modalità di raccolta, trattamento e cancellazione dei dati. Come sottolinea l’Avv. Busia, il recepimento del GDPR all’interno dell’ordinamento nazionale è molto importante, poiché il GDPR è un regolamento che rispecchia anche il cambiamento culturale europeo, volto verso l’internazionalizzazione e la facilitazione del libero mercato e della concorrenza leale tra aziende ed organizzazioni sparse in Europa, pur garantendo la massima protezione dei dati personali e, quindi, della privacy. Per permettere tutto questo, l’Europa ha redatto il regolamento 679/2016 tenendo conto dei principi di autonomia ed autodeterminazione degli Stati europei: essi sono invitati a plasmare e adattare le norme del GDPR ai propri ordinamenti nazionali, senza, ovviamente, stravolgerne il significato.

Il GDPR, chiarisce ancora Busia, è quel regolamento nato dalla volontà di offrire maggiori strumenti di tutela a tutti, dai privati alle imprese, dalle pubbliche amministrazioni alle organizzazioni, implementando diritti già presenti e garantendone altri. Quindi oltre a poter chiedere l’accesso, la modifica e la cancellazione dei dati che l’interessato ha fornito, dal 25 maggio 2018 egli può avvalersi anche del diritto all’oblio e alla portabilità. Il primo è un plus del diritto di cancellazione, per cui il dato in oggetto e su richiesta dell’interessato deve essere eliminato in modo permanente da qualsiasi registro e database. Per portabilità, chiarisce l’Avvocato Busia, si intende quel diritto per cui l’interessato può richiedere lo spostamento di tutti i suoi dati conservati in modo elettronico da una piattaforma ad un’altra, evitando così il monopolio aziendale, soprattutto quello che opera tra i social networks.

Sono proprio i social networks a destare maggiormente l’attenzione dei legislatori di Bruxelles e non solo per la quantità di dati che trattano quotidianamente, ma anche per l’età degli utenti. Punto caldo del GDPR è proprio quello che riguarda i minorenni. La normativa europea afferma che il minore di 16 anni non può esprimere un consenso senza la tutela dei genitori o di chi ne fa le veci. Il limite d’età non è fisso per tutti gli Stati d’Europa: anche qui il nuovo regolamento europeo ha lasciato ampia discrezionalità ai legislatori nazionali, i quali possono abbassare il limite del consenso fino a 13 anni. Non è detto che maggiore è l’età per dare il proprio consenso e maggiore consapevolezza dell’utente, in quanto molto spesso i giovani mentono sulla loro età pur di iscriversi ai social. Se il minorenne dichiarasse la sua vera età al momento dell’iscrizione aiuterebbe la piattaforma ad inserire contenuti idonei alla sua fascia d’età, afferma Busia che chiude il concetto elencando i principi fondamentali del consenso: esso deve essere vero, reale e libero.

Nel regolamento europeo si sottolinea più volte la necessità di offrire maggiore tutela al cittadino che inizia con il fornire al cittadino delle informative privacy semplici, chiare, immediate e dirette. Il problema che i diversi Garanti Privacy hanno riscontrato in questi anni di “rodaggio” della normativa privacy è che nessuno perdeva del tempo a leggere informative troppo complesse e giuridiche. L’obiettivo, dice ancora Busia, è quello di semplificare il più possibile l’informativa, anche attraverso l’uso di schemi ed immagini per offrire la possibilità al cittadino di scegliere se offrire o meno il suo consenso, confermando così la presa di coscienza e la consapevolezza di essere responsabile delle sue azioni e scelte, ovvero rispondendo al principio di responsabilizzazione presente nel reg. 679/2016.

L’Avv. Busia sottolinea l’importanza del dialogo tra cittadino, impresa e autorità. È proprio qui che il Segretario Generale del Garante della Privacy spiega la figura del Data Protection Officer (o DPO – Responsabile per la Protezione dei Dati). Il DPO è una figura essenziale, caldamente consigliata dal GDPR se non obbligatoria per aziende rispondenti a determinate caratteristiche, perché è il punto di contatto tra il Garante Privacy (di cui è il referente) e l’organizzazione presso cui lavora, aiutandola e suggerendole nuove soluzioni. I dati di tutti i DPO verranno raccolti in un registro nazionale e avranno sempre più spesso contatti con le istituzioni europee per permettere la creazione di una rete e di un dialogo tra i diversi DPO degli Stati dell’Unione Europea, per cui continueranno a confrontarsi sui problemi che mano a mano si riscontreranno con l’applicazione della nuova normativa. I Garanti Privacy nazionali vareranno nuove linee guida che faciliteranno e spiegheranno l’applicazione delle norme previste dal regolamento europeo, garantendo sempre e comunque ampie libertà di azione alle pubbliche amministrazioni, aziende e privati.

Ecco la video intervista completa: http://stream24.ilsole24ore.com/video/norme-e-tributi/privacy-ecco-che-cosa-cambiera-25-maggio/AEDF6moE

Parola al presidente dell’Autorità del Garante

Soro Presidente Garante Privacy
A. Soro – Presidente dell’Autorità Garante Privacy

Intervistato dal giornalista di Italia Oggi Antonio C. Messina, il Presidente del Garante per la Protezione dei Dati Personali, Antonello Soro, risponde alle domande che tutti si pongono da quando è stato emanato il Regolamento Europeo 679/2016 sul trattamento dei dati personali (GDPR) a questa parte, ovvero da due anni.

Nonostante l’idea comune sia quella che il GDPR abbia complicato ulteriormente la materia privacy, il Presidente Soro sostiene che, in realtà, il regolamento sia l’espressione di un cambiamento per le aziende che andranno via via incontro a “nuove sfide di un’economia fondata sui dati”. Egli afferma ancora che la nuova normativa deve essere considerata come una nuova opportunità di crescita delle imprese a livello concorrenziale e come una “risorsa reputazionale” che indica il livello di credibilità e serietà dell’azienda. Per adempiere in modo ottimale al GDPR, il Presidente del Garante sottolinea l’importanza della preparazione in materia di dipendenti e personale per una loro maggiore responsabilizzazione nel momento in cui dovranno trattare i flussi di dati presenti in azienda. Il Dott. Soro sottolinea ancora l’importanza delle misure di sicurezza e tecnico-organizzative per garantire il rispetto della privacy e della protezione del dato.

Analizzando la relazione tra GDPR ed enti pubblici, il Presidente afferma ancora che, per ovviare al problema del recepimento della normativa da parte delle pubbliche amministrazioni, sono stati organizzati numerosi corsi formativi. Il Garante sta lavorando per pubblicare nuove linee guida, FAQ e materiale sul Reg. UE 679/2016 per facilitare la materia a tali enti, nonché alle micro-piccole e medie imprese.

Concludendo l’intervista, il giornalista Messina porta l’attenzione su uno dei temi focali del nuovo Regolamento Europeo: le sanzioni. Analizzate ancora una volta dal Dott. Soro, le sanzioni saranno comminate secondo un approccio gradualistico (da amministrative a pecuniarie) alle aziende, associazioni ed organizzazioni che violano le norme del GDPR.

Fonte: Italia Oggi del 21/05/2018

intervista di A. C. Messina

 

Online l’aggiornamento 2018 della Guida applicativa

Il Garante per la protezione dei dati personali mette a disposizione l’aggiornamento 2018 della Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali.

Il documento – che traccia un quadro generale delle principali innovazioni introdotte dal Regolamento e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa – è stato in parte modificato e integrato alla luce dell’evoluzione della riflessione a livello nazionale ed europeo. Il testo potrà subire ulteriori aggiornamenti, allo scopo di offrire sempre nuovi contenuti e garantire un aggiornamento costante.

La guida è disponibile sul sito del Garante www.garanteprivacy.it in formato ipertestuale navigabile e in pdf scaricabile.

Roma, 27 marzo 2018