Il GDPR è molto chiaro circa il reperimento, da parte di aziende o privati, di dati personali. Ma cosa succede quando questi sono resi pubblici dallo stesso interessato?

“È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona

Questo è quanto esplicitato dall’art. 9 del GDPR, il Regolamento Europeo sulla protezione dei dati personali.

Ma cosa succede quando i dati online li mettiamo noi?

Su internet infatti è possibili reperire molte informazioni personali di privati, pubblicate dagli stessi su siti internet che offrono particolari servizi (come quelli degli albi professionali ad esempio) e, ancora di più, delle informazioni personali che vengono, più o meno consapevolmente, diffuse sui profili dei social network.

Dobbiamo innanzitutto distinguere il fine per cui questi dati verrebbero utilizzati, oltre al motivo per cui vengono resi pubblici. I contatti reperiti sui siti degli albi professionali infatti sono sicuramente pubblici e, anche se inseriti da terzi, possono essere riutilizzati per fini privati. È vietato invece fruire gli indirizzi mail reperiti in questo modo a scopi pubblicitari.

Le “Linee guida in materia di attività promozionale e contrasto allo spam” hanno appunto affermato l’illegittimità dell’invio di un “messaggio promozionale relativo a uno specifico prodotto o servizio da un’impresa che abbia tratto i dati personali del destinatario dal profilo del social network al quale egli è iscritto “, sulla base della considerazione che la facilità con cui si rintracciano i dati online (quali numeri di telefono o indirizzi di posta elettronica) non autorizza a poterli utilizzare per inviare comunicazioni promozionali automatizzate senza il consenso dei destinatari.

Volendo riassumere, possiamo dire che nel sistema attuale il riutilizzo delle informazioni personali “pubblicamente accessibili”, ai sensi del Codice Privacy, è consentito a prescindere da un consenso informato dell’interessato:

1. in generale, per usi con finalità coerenti con quelle che ne hanno causato la pubblicazione;

2. con eccezione, invece per casi in cui questo utilizzo sia bilanciato nel contesto dei diritti fondamentali (ad esempio per fini giornalistici).

Tornando alla norma del GDPR, all’art. 9, comma 1, essa dice che i dati, qualora resi manifestamente pubblici dall’interessato, possono essere trattati. Non dice però con quali regole.Particolarmente significativa è perciò la regola generale per cui è possibile il trattamento dei dati personali, a fronte del consenso esplicito per una o più finalità specifiche.Secondo questo principio quindi, possiamo dedurre che l’azione di rendere pubblici i propri dati personali, equivalga a un valido consenso al loro trattamento.

Questo utilizzo ha però dei limiti posti dal GDPR: il trattamento infatti, anche se supportato da una precisa attenuante del consenso e da finalità coerenti con quelle per cui i dati sono stati resi pubblici dall’interessato stesso, può risultare illegittimo qualora, per le modalità con cui il trattamento è realizzato o per gli effetti che produce, rechi un danno sociale all’interessato.
Resta poi indubbiamente salva la possibilità per l’interessato di esercitare il diritto all’opposizione e quello all’oblio.

In definitiva potremmo azzardarci a dire che, se il Garante non darà esplicite direttive future, il Regolamento userà questo aspetto per rafforzare il principio dell’accountability, cioè la responsabilizzazione, rimettendo completamente al titolare del trattamento la responsabilità di un uso troppo invasivo di dati pubblici, accettandone anche le possibili conseguenze.

La Commissione europea si è finalmente espressa sul funzionamento dello scudo UE-USA per la privacy, cha ha il compito di proteggere i dati di cittadini e imprese europee trasferiti negli Usa a fini commerciali.

Ok con riserva della Commissione Europea al Privacy Shield, l’accordo in materia di protezione dati tra UE e USA che, nel 2016, ha sostituito il Safe Harbour.

Il vice presidente della Commissione Andrus Ansip, responsabile del Mercato Unico Digitale, si è confermato sostenitore dello Scudo privacy con gli States, sottolineando l’importanza di creare un regime solido di certificazioni e un’attività di sorveglianza dinamica, per garantire ai consumatori UE i vantaggi dei trasferimenti dati internazionali, con la sicurezza di una valida certificazione.

I trasferimenti transatlantici di dati sono vitali per l’economia europea ma è necessario salvaguardare il diritto fondamentale alla protezione dati personali anche in uscita dall’Ue. Un primo esame della Commissione mostra che lo scudo per la privacy funziona bene ma che esiste un certo margine di miglioramento.

Nel complesso la relazione presentata ieri mostra che il Privacy Shield continua a garantire un adeguato livello di difesa dei dati personali trasferiti dall’Ue alle imprese Usa. Le autorità statunitensi hanno predisposto le strutture e le procedure necessarie a garantire il corretto funzionamento dello scudo, rafforzando anche la collaborazione con le autorità europee. 

La relazione avanza però alcune raccomandazioni volte a garantire continuità di funzionamento, quali:

• un monitoraggio più attivo e regolare del Dipartimento del Commercio degli Stati Uniti per verificare che le imprese rispettino gli obblighi imposti dallo scudo per la privacy; esso dovrebbe inoltre svolgere periodicamente attività di ricerca per reperire le organizzazioni che millantano la partecipazione allo scudo per la privacy;

• la nomina tempestiva di un mediatore del Privacy Shield permanente nonché garantire la copertura dei posti vacanti presso l’Autorità per la tutela della vita privata e delle libertà civili (PCLOB);

• maggiore sensibilizzazione delle persone nell’Ue circa le modalità con cui esercitare i loro diritti fuori dai confini;

• più collaborazione tra i responsabili della privacy, ossia il Dipartimento del Commercio degli USA, la Commissione federale del Commercio e le autorità di protezione dei dati dell’Ue;

• il riconoscimento della tutela per i cittadini non americani previsto sulla riautorizzazione e la riforma della sezione 702 del Foreign Intelligence Surveillance Act (FISA).

La Commissione proseguirà l’opera di monitoraggio dello scudo, compreso il rispetto degli impegni assunti da parte degli Usa, collaborando con le autorità statunitensi per stabilire il seguito da dare alle raccomandazioni.

L’Università di Leuven ha scoperto una vulnerabilità nel sistema che protegge i router e che rende così le reti wi-fi potenzialmente hackerabili.

Nuovi problemi sul fronte cybersecurity: da una scoperta fatta da un team dell’Università di Leuven, guidato da Marthy Vanhoef, è emerso che il protocollo WPA2 (il programma di certificazione utilizzato dai wi-fi come forma di protezione dei dati scambiati in una rete di computer wireless) è vulnerabile.

Il risultato è che il protocollo diventa potenzialmente (e anche piuttosto facilmente) hackerabile, rendendo così possibile il replay dei pacchetti, la decrittografia, l’iniezione di contenuti via http e l’hijacking della connessione TCP.

Quasi tutte le implementazioni del WPA2 sarebbero già affette. Ciò significa, in sintesi, che un qualsiasi hacker che si trovi fisicamente nel raggio di campo di una connessione wifi può accedere piuttosto facilmente a dati sensibili e password, intercettando il traffico internet che avviane tra computer e access point. In questo modo l’intrusione sarà anche impossibile da tracciare. 

Il KRACK (Kay Reinstellation Attacks), ovvero la verifica teorica realizzata dal team di ricercatori, avrebbe dimostrato come qualsiasi informazione derivata da siti che non si servono della protezione del certificato HTTPS (tra cui molte banche) sia intercettabile, così come anche i sistemi video delle telecamere dei pc. 

Al momento i produttori di modem, allertati, si stanno adoperando per risolvere questo problema e rilasciare quanto prima un aggiornamento. 

Consigliamo quindi di lasciare che i dispositivi si auto-aggiornino (tutti i moderni OS hanno questa possibilità) in modo da installare la versione nuova appena disponibile senza bisogno di controlli continui. Possono però esserci problemi con vecchie versioni di Android per cui l’aggiornamento necessario potrebbe addirittura non arrivare mai. Ove possibile, suggeriamo di utilizzare la connessione 3G/4G per dispositivi mobili e, in hotel e luoghi pubblici, di preferire le connessioni ethernet (cioè quelle tramite cavi). Per quanto riguarda i dispositivi di casa connessi, soprattutto le videocamere, controllare che il traffico dati sia criptato. 

Sul sito https://www.krackattacks.com/ potete trovare tutte le informazioni necessarie sull’argomento, fornite direttamente dal team di ricerca.

Il Garante Privacy si pronuncia sullo shopping online e mette divieto sullo spam.

“Gli utenti devono poter navigare liberamente su siti di e-commerce senza essere obbligati a rilasciare il consenso per usare i loro dati personali per finalità di marketing.” Questo è quanto deliberato dal Garante Privacy a seguito della segnalazione, da parte di alcuni utenti, che denunciavano di aver ricevuto e-mail di pubblicità indesiderata, da parte di una società di e-commerce.

Tutto questo senza che fosse rispettato il diritto di opposizione al trattamento dei loro dati personali.

Dalle indagini, svolte in collaborazione con la Guardia di Finanza, è emerso che gli utenti, una volta avviata la procedura per procedere al pagamento sul sito di e-commerce della società indagata, erano costretti a compilare preventivamente un modulo di registrazione che li obbligava ad accettare i termini e le condizioni di utilizzo dei dati personali. In caso contrario la navigazione non era in alcun modo consentita.

La policy del sito, oltre che permettere l’utilizzo dei dati per le finalità connesse ai servizi online, prevedeva però anche l’utilizzo da parte di terzi, degli indirizzi email degli utenti a fini di marketing. 

Nel provvedimento il Garante ha rammentato che “il consenso per il trattamento dei dati personali, per essere valido, non deve essere condizionato, ma libero e specifico, oltre che acquisito prima dell'invio di comunicazioni promozionali”.

Obbligare quindi gli utenti a ricevere pubblicità solo per avere accesso a una vetrina online, è perciò vietato.

I dati richiesti per accedere alla vetrina inoltre violavano in toto i principi di minimizzazione di necessità previsti dal Codici Privacy, che prevede la richiesta e raccolta del minor numero di informazioni personali possibili e l’obbligo di rilevanza esclusivamente per la finalità richiesta.

La sentenza, in definitiva, ha vietato alla società l’utilizzo dell’intera banca dati personali raccolti, per le attività pubblicitarie.

Tutto il mondo tecnologico intorno a noi raccoglie continuamente i nostri dati personali. E noi glieli regaliamo come se non avessero valore.

La tecnologia ormai è tutt’intorno a noi. Abbiamo computer in ogni casa e ufficio e cellulari in ogni tasca. Oggetti inanimati ma profondamente intelligenti, che ci conoscono meglio di chiunque altro. 

Conoscono il nostro nome e la nostra età, il nostro conto in banca, la nostra salute, che musica ci piace, quanto sport facciamo e se siamo bravi a farlo. Sanno dove andiamo e quanto tempo impieghiamo per andarci. Ricordano per mesi cosa abbiamo comprato e anche cosa avremmo voluto comprare ma poi non lo abbiamo fatto. 

Con l’avvento dei social network poi, sanno anche chi sono i nostri amici più cari, con chi ci piace parlare, se siamo fidanzati e, nei casi più estremi anche se siamo degli assassini.

Ma di chi sono tutte queste informazioni?

Una volta avremo risposto senza pensare: sono mie. Ora le cose sono diverse. Noi le barattiamo in cambio di un servizio più o meno (di solito meno) necessario. 

Questi dati personali non appartengono quindi a noi e nemmeno ai nostri cari.

Se la privacy, in passato, era prerogativa di istituzioni governative e Stati democratici, oggi è affidata alle aziende tecnologiche. Apple, Facebook, Amazon, Google. Grandi nomi a cui noi abbiamo rivelato, più o meno consapevolmente, chi siamo stati, chi siamo e chi vorremmo essere. 

Le informative sulla privacy che ci fanno accettare, spesso anche tacitamente, ci dicono che loro terranno al sicuro i nostri dati, che non li daranno mai all’esterno (confini allargati però, non parliamo di singolo Paese ma, almeno, di Comunità Europea) e, i più gentili, ci diranno anche per quanto tempo li conserveranno.

Sintetizzando: i nostri dati sono tutto quello che siamo, i nostri dati siamo noi.

Assurdo quindi pensare che li regaliamo, ci regaliamo, alle aziende in cambio di dieci secondi di gloria sotto forma di like. 

Non siamo assolutamente spaventati o, peggio, consci dei pericoli di questa tratta di informazioni, non consideriamo il furto di identità a meno che un ransomware non ci ricatti direttamente, costringendoci a pagare per avere indietro qualcosa che, nella maggior parte dei casi, non vorremmo fosse divulgato più per evitare l’imbarazzo che per altro.

Bando alle email di spam e alle chiamate dai call-center Balcani, noi vogliamo essere iscritti a Facebook e lo volgiamo gratis.

Sì perché se ci proponessero lo stesso servizio a un prezzo irrisorio (come ad esempio gli iniziali 0,79 cent annuali per Whatsapp) in cambio dell’anonimato, sarebbe subito insurrezione popolare. 

Ecco quindi svelato un mistero che di misterioso ha ben poco: il vero business dei social network (e della tecnologia più in generale) siamo noi. Noi, come individui, facciamo girare un mercato che vale, secondo uno studio commissionato da DG Connect, 60 miliardi euro e che è destinato a crescere.

Noi siamo un business, siamo un prodotto che ha un valore (calcolato da Facebook) e che, di riflesso, è il valore che si può dire diamo a noi stessi.

E il nostro valore è di 16 dollari.

Un video girato dai dipendenti di una filiale di Banca Intesa per un concorso interno finisce online. Tra le tante domande sul caso una in particolare: come ci è finito quel video su Facebook?

Ormai la storia non fa più notizia: due giorni fa sono finiti online un paio di video girati dai dipendenti di due filiali di Intesa Sanpaolo, destinati invece a un concorso aziendale interno.

Non entreremo nel merito cinematografico del video. 

Non parleremo nemmeno del fenomeno dell’aziendalismo che forse è un po’ sfuggito alle risorse umane di Intesa (ci ha già pensato il Post).

Non ci addentreremo nemmeno nel campo della gogna pubblica verso la direttrice di banca, di cyberbullismo abbiamo già parlato qui.

Parleremo invece di privacy e di protezione dati.

Ci siamo chiesti infatti come sia possibile che, a pochi mesi dall’attuazione del GDPR, un’azienda come Intesa, che è una banca, quindi è un ente a cui milioni di persone affidano i propri risparmi, ritenendoli al sicuro nei loro sistemi, non sia in grado di proteggere i propri dipendenti da un leak di questo livello. 

Ricostruendo la storia, pare che un dipendente abbia sottratto il materiale video destinato a un concorso interno, e poi lo abbia condiviso su Whatsapp con degli amici. Da qui alla viralità il passo è breve. Un colpevole quindi c'è anche se, per ora, non ha ancora un'identità.

Eppure il Regolamento Europeo per la Protezione dei dati personali parla chiaro: la diffusione di dati (o “contenitori di dati”, come ad esempio un video che renda riconoscibile la persona filmata) dei dipendenti è assolutamente vietata, se non esplicitamente approvata dall’interessato, e ogni furto di informazioni sensibili va denunciato al Garante della Privacy entro 72 ore, che si attiverà per verificare i sistemi di sicurezza dell’azienda, per poi decretarne la responsabilità, arrivando a sanzioni che possono toccare il 4% del fatturato mondiale annuale.

Fino a maggio 2018 però il GDPR non sarà attuato e quindi l’ammontare delle possibili sanzioni non sarà a questi livelli. 

È però assurdo che proprio in un momento in cui la tutela della privacy dovrebbe essere una priorità per il mondo aziendale, a fronte dei nuovi adempimenti necessari in ottemperanza alla normativa europea, si cada in strafalcioni del genere e si ponga in essere un comportamento irrispettoso delle più banali regole del Codice Privacy, del nuovo Regolamento e, più banalmente, del buon senso.

Tra le nuove regole del nuovo GDPR, c’è anche il potenziamento della protezione dei dati che riguardano i minori.

La tutela dei dati personali, ormai lo sappiamo, sta per essere completamente stravolta dall’applicazione effettiva del nuovo GDPR, che entrerà in vigore da maggio 2018.

Tra i cambiamenti che il nuovo Regolamento Europeo prevede ci sarà un rafforzamento sulle regole di raccolta dati che riguardano i minori. 

La questione è posta soprattutto nell’ambito del trattamento digitale della privacy dei minorenni e vuole regolamentare la raccolta dei dati da parte di quei siti che poi li potrebbero utilizzare per fini commerciali. 

In particolare parliamo quindi di social network.Ad oggi i principali social, come Facebook, Instagram, Whatsapp, Snapchat e Youtube, impongono l’età minima di iscrizione a 13 anni e prevedono che siano gli utenti stessi a segnalare eventuali minori che utilizzano il servizio cambiando, ad esempio, la data di nascita (qui il modello di Facebook)

.Il nuovo GDPR invece ha prescritto, all’articolo 8, l'obbligo di impedire l'offerta diretta di servizi della società dell'informazione (quindi iscrizione ai social network e ai servizi di messaggistica) a soggetti minori di 16 anni, a meno che non sia raccolto il consenso dei genitori (occorre accertare che il consenso sia dato dall'esercente la patria potestà). 

La normativa prevede comunque che questo aspetto possa essere diversamente regolato dai singoli Garanti nazionali, ponendo insindacabilmente però, un limite non inferiore ai 13 anni.

Il Garante Italiano, al momento, non si è ancora formalmente espresso in proposito.

È importante sottolineare infatti che l’iscrizione a un servizio come quello di Facebook non è una semplice iscrizione a un social, bensì un vero e proprio contratto, con il quale l’utente acconsente a una profilazione aggressiva, non solo dei propri comportamenti, ma anche sulla propria persona.

Non solo social media però, un altro compito importante che avrà l’Autorità Garante della Privacy, definito con la legge 71 del 2017, sarà quello di gestire atti di cyberbullismo. La legge prevede misure di prevenzione ed educazione nelle scuole, sia per la vittime sia per gli autori di bullismo digitale. 

I minori potranno chiedere l'oscuramento o la rimozione di contenuti offensivi senza dover informare i propri genitori. La richiesta va inoltrata al gestore del sito o al titolare del trattamento e, solo se necessario (questa volta a mezzo dei genitori) al Garante, che interverrà entro 48 ore.

A questo link è possibile scaricare il modello per la segnalazione di atti di cyberbullismo.

logo sito

Via Levorin, 1 - 35127 Padova

P. IVA/C.F. 03719260287
Registro Imprese di Padova
n. 03719260287
Numero R.E.A 331324

Tel. (+39) 049.8077145
Fax (+39) 049.7806159

 

Modifica il tuo consenso ai cookie

ASSISTENZA

Il servizio di supporto e assistenza è attivo dal lunedì al venerdì dalle:
09:00 - 13:00
14:00 - 16:00

Eventuali interventi presso il cliente vanno concordati.

CERCA NEL SITO

©2018 TECSIS S.r.l. All Rights Reserved.

Search