4 Gen 2021
28 Dic 2020

Il Garante per la protezione dei dati personali ha messo a punto una scheda informativa per sensibilizzare gli utenti sui rischi connessi agli usi malevoli di questa nuova tecnologia, sempre più frequenti, anche a causa della diffusione di app e software che rendono possibile realizzare deepfake, anche molto ben elaborati e sofisticati, utilizzando un comune smartphone.

Cosa significa

La parola deepfakeè un neologismo nato dalla fusione dei termini “fake” (falso) e “deep learning”, una particolare tecnologia AI. Le tecniche usate dai deepfake sono simili a quelle delle varie app con cui ci si può divertire a modificare la morfologia del volto, a invecchiarlo, a fargli cambiare sesso, ecc. La materia di partenza sono sempre i veri volti, i veri corpi e le vere voci delle persone, trasformati però in “falsi” digitali.

Le persone che compaiono in un deepfake a loro insaputa non solo subiscono una perdita di controllo sulla loro immagine, ma sono private anche del controllo sulle loro idee e sui loro pensieri, che possono essere travisati in base ai discorsi e ai comportamenti falsi che esprimono nei video.

Rischi

In particolari tipologie di deepfake, dette deepnude, persone ignare possono essere rappresentate nude, in pose discinte, situazioni compromettenti (ad esempio, a letto con presunti amanti) o addirittura in contesti pornografici.

Video deepnude possono essere utilizzati, a totale insaputa dei soggetti rappresentati nelle immagini, anche per alimentare la pratica del sexting (cioè lo scambio e diffusione di immagini di nudo, che a volte coinvolge anche soggetti minori), la pornografia illegale e, purtroppo, anche reati gravissimi come la pedopornografia.

I video deepfake possono essere creati ad hoc per realizzare veri e propri atti di cyberbullismo, che hanno come vittime soprattutto giovani.

Il deepfake può essere utilizzato per attività telematiche illecite, come lo spoofing (il furto di informazioni che avviene attraverso la falsificazione di identità di persone o dispositivo, in modo da ingannare altre persone o dispositivi e ottenere la trasmissione di dati), il phishing e il ransomware.

Come difendersi

Il primo e più efficace strumento di difesa è rappresentato sempre dalla responsabilità e dall’attenzione degli utenti. Ecco allora alcuni suggerimenti:

  • Evitare di diffondere in modo incontrollato immagini personali o dei propri cari. In particolare, se si postano immagini sui social media, è bene ricordare che le stesse potrebbero rimanere online per sempre o che, anche nel caso in cui si decida poi di cancellarle, qualcuno potrebbe già essersene appropriato.
  • Anche se non è semplice, si può imparare a riconoscere un deepfake. Ci sono elementi che aiutano: l’immagine può appare pixellata (cioè un pò“sgranata” o sfocata); gli occhi delle persone possono muoversi a volte in modo innaturale; la bocca può apparire deformata o troppo grande mentre la persona dice alcune cose; la luce e le ombre sul viso possono apparire anormali.
  • Se si ha il dubbio che un video o un audio siano un deepfake realizzato all’insaputa dell’interessato, occorre assolutamente evitare di condividerlo (per non moltiplicare il danno alle persone con la sua diffusione incontrollata). E si può magari decidere di segnalarlo come possibile falso alla piattaforma che lo ospita (ad esempio, un social media).
  • Se si ritiene che il deepfake sia stato utilizzato in modo da compiere un reato o una violazione della privacy, ci si può rivolgere, a seconda dei casi, alle autorità di polizia (ad esempio, alla Polizia postale) o al Garante per la protezione dei dati personali.

(Fonte Garante Privacy)

23 Dic 2020

Il Garante per la protezione dei dati ha lanciato un nuovo servizio online che permette ai titolari del trattamento di adempiere più facilmente ai propri obblighi in materia di data breach. Tramite uno strumento di self-assessment, l‘utente può valutare l’entità del data breach e la necessità o meno di effettuare la notifica al Garante e/o all’interessato. Lo strumento inoltre fornisce un modello di notifica da utilizzare per comunicare la violazione di dati personali all’Autorità.

Il nuovo servizio del Garante è disponibile alla pagina https://servizi.gpdp.it/databreach/s/

(Fonte Garante Privacy)

18 Dic 2020

Il CNIL (Commission Nationale de l’Informatique et des Libertés) – Garante francese – ha sanzionato con una multa di € 3000  e € 6000 due medici che non avevano adeguatamente protetto i dati personali dei propri pazienti come previsto dagli obblighi del titolare del trattamento.

Il CNIL, a seguito di un controllo effettuato nel 2019, ha rilevato che migliaia di immagini mediche ospitate su server appartenenti a due medici liberali erano liberamente accessibili su Internet.

Durante i controlli, i medici hanno ammesso che le violazioni dei dati erano dovute a una cattiva scelta di configurazione, nonché a una cattiva configurazione del loro software. Le indagini hanno anche stabilito che le immagini mediche conservate sui loro server non erano sistematicamente crittografate.

Sulla base di questi elementi, è stata riscontrata una violazione dell’obbligo di sicurezza dei dati (articolo 32 del GDPR), considerando che i medici avrebbero dovuto garantire che la sicurezza informatica delle loro reti informatiche, non portasse a rendere i dati liberamente accessibili su Internet.

Inoltre, è stata riscontrata una violazione dell’obbligo di notificare le violazioni dei dati alla CNIL (articolo 33 del GDPR). I due medici non hanno effettuato non hanno notificato il data breach al Garante una volta venuti a conoscenza della violazione.

(vai alla pagina CNIL)


                        
9 Dic 2020

Pubblicate le Faq messe a punto dal Garante per la protezione dei dati personali sulle questioni concernenti il trattamento dei dati personali nell’ambito dell’installazione di impianti di videosorveglianza da parte di soggetti pubblici e privati. I chiarimenti si sono resi necessari in ragione delle nuove previsioni introdotte dal Regolamento 2016/679, alla luce delle quali va valutata la validità del provvedimento del Garante in materia, che risale al 2010 e contiene prescrizioni in parte superate. Le Faq tengono conto anche delle Linee guida recentemente adottate sul tema della videosorveglianza dal Comitato europeo per la protezione dei dati (EDPB) e contengono un modello di informativa semplificata redatto proprio sulla base dell’esempio proposto dall’EDPB.

Il Garante ha chiarito, ad esempio, che l’attività di videosorveglianza va effettuata nel rispetto del principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e alla dislocazione  dell’impianto, e che i dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite. In base al principio di responsabilizzazione, poi, spetta al titolare del trattamento (un’azienda, una pubblica amministrazione, un professionista, un condominio…) valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità dello stesso, nonché del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve, inoltre, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento.

In merito all’informativa agli interessati, l’Autorità ha chiarito che può essere utilizzato un modello semplificato (esempio un semplice cartello) contenente le informazioni più importanti e collocato prima di entrare nell’area sorvegliata, in modo che gli interessati possano capire quale zona sia coperta da una telecamera.

Di particolare importanza, infine, le indicazioni sui tempi dell’eventuale conservazione delle immagini registrate: salvo specifiche norme di legge che prevedano durate determinate, i tempi di conservazione devono necessariamente essere individuati dal titolare del trattamento in base al contesto e alle finalità del trattamento, nonché al rischio per i diritti e le libertà delle persone. Al riguardo il Garante ha sottolineato che i dati personali dovrebbero essere – nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici) – cancellati dopo pochi giorni e che quanto più prolungato è il periodo di conservazione previsto, tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.

(Fonte Garante Privacy)

29 Nov 2020

L’Autorità per la protezione dei dati personali, dopo la pubblicazione del Vademecum sull’App, in cui detta dei suggerimenti su come utilizzare le APP, richiama l’attenzione sulla pubblicazione delle immagini e dei video on line.

Come tutelare la propria immagine on line? Alcune immagini potrebbero farci sentire in imbarazzo oppure far sentire in imbarazzo o non valer apparire altre persone.

Prima regola: prima di pubblicare verifica se vuoi effettivamente postare la foto o il video, perchè rimane online ed visibile a tutti

Seconda regola: chiedere alle altre persone il consenso ad essere taggati oppure ad apparire nella foto / video.

Terza regola: controlla chi può vedere le immagini sul tuo profilo.

Quarta regola: ricorda che le foto possono essere condivise, scariche e commentate

Quinta regola: imposta l’avviso per essere informato quando qualcuno collega il tuo nome con la tua immagine, così da rifiutare o accettare il tag

Sesta regola: verifica sempre quando scarichi le app, la richiesta di accesso alle “foto” o “video” sul tuo cellulare. Cerca sempre di capire lo scopo, perchè potrebbero essere diffuse.

Poche e semplici regole per essere connessi con la testa e in maniera consapevole.

(Fonte Garante Privacy)

27 Nov 2020

A seguito di diversi reclami nei confronti del gruppo CARREFOUR, il CNIL (Commission Nationale de l’Informatique et des Libertés) – Garante francese – ha effettuato dei controlli, tra maggio e luglio 2019, presso le società CARREFOUR FRANCE (settore retail) e CARREFOUR BANQUE (settore bancario). Dai controlli ha riscontrato carenze nel trattamento dei dati dei clienti e dei potenziali utenti. Il presidente della CNIL ha quindi deciso di avviare un procedimento sanzionatorio nei confronti di queste società.

Al termine di questa procedura, il comitato ristretto – l’organo della CNIL responsabile per l’imposizione delle sanzioni – ha effettivamente ritenuto che le società non fossero riuscite a soddisfare diversi obblighi previsti dal GDPR.

Ha quindi sanzionato la società CARREFOUR FRANCE con una multa di 2.250.000 euro e la società CARREFOUR BANQUE con una multa di 800.000 euro. Tuttavia, non ha emesso un’ingiunzione quando ha rilevato che sforzi significativi avevano consentito il rispetto di tutte le violazioni individuate.

Tra le violazioni riscontrate:

  • Mancata informativa sul trattamento dei dati (art. 13 GDPR)
  • Violazioni relative ai cookie (articolo 82 della legge sulla protezione dei dati)
  • Mancato rispetto dell’obbligo di limitazione del periodo di conservazione dei dati (art. 5.1.e del GDPR)
  • Mancata agevolazione dell’esercizio dei diritti (art. 12 GDPR)
  • Mancato rispetto dei diritti (articoli 15, 17 e 21 del GDPR e L 34-5 del Codice postale e delle comunicazioni elettroniche)
  • Mancato rispetto a trattare i dati in modo corretto (articolo 5 del GDPR)

(Vai alla pagina CNIL)

14 Nov 2020

In contratto di fornitura di servizi di telecomunicazione contenente una clausola secondo cui il cliente ha acconsentito alla raccolta e alla conservazione del suo documento di identità non può dimostrare che egli ha validamente prestato il suo consenso qualora la relativa casella sia stata selezionata dal responsabile del trattamento prima della sottoscrizione del contratto.

La decisione

La Corte di Giustizia Ue con una sentenza nella causa C-61/19, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Tribunalul Bucureşti (Tribunale superiore di Bucarest, Romania), con decisione del 14 novembre 2018, pervenuta in cancelleria il 29 gennaio 2019, nel procedimento Orange România SA contro il Garante per la privacy rumeno (ANSPDCP), ha stabilito che se casella della clausola per l’autorizzazione è stata preselezionata, non si può dimostrare che il cliente abbia implicitamente prestato il suo consenso al contratto.

Il Caso

Il caso riguardava la società di servizi di telefonia mobile Orange Romania, alla quale la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal in data 28 marzo 2018 aveva inflitto una sanzione dell’importo di 10.000 lei (corrispondente a circa 2.000 euro) per aver raccolto e conservato i dati dei clienti, senza un loro consenso esplicito.

La Corte UE ha chiarito che il consenso al trattamento dei dati del consumatore, deve essere sempre espresso mediante un atto positivo inequivocabile come manifestazione di volontà libera, specifica ed informata, e non è dimostrabile neanche nel caso in cui sia indotto per errore a ritenere che, senza acconsentire, non sia possibile stipulare il contratto.

Nella sentenza si legge, inoltre, che: nell’ipotesi di rifiuto da parte di un cliente ad acconsentire al trattamento dei propri dati, la Corte osserva che l’Orange România esigeva che questi dichiarasse per iscritto di non acconsentire né alla raccolta né alla conservazione della copia del suo documento di identità. Per la Corte, un tale requisito supplementare è idoneo a incidere indebitamente sulla libera scelta di opporsi a questa raccolta e a questa conservazione. In ogni caso, poiché detta società è tenuta a dimostrare che i propri clienti, con un comportamento attivo, hanno manifestato il loro consenso al trattamento dei loro dati personali, essa non può pretendere da loro che manifestino il loro rifiuto attivamente.

Il consenso

Ai sensi dell‘art. 7 del Regolamento UE 679/2016: Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

Ancora il Considerando 32 prevede: Il consenso dovrebbe essere prestato mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto.

In conclusione: il consenso espresso mediante una casella di spunta preselezionata non implica un comportamento attivo da parte dell’utente di un sito Internet.

Fonte (Corte di Giustizia Europea)

9 Nov 2020

Prima di installare una app, cerca di capire quanti e quali dati verranno raccolti e come verranno utilizzati.

Ecco alcuni suggerimenti del Garante per la protezione dei dati personali.

Leggi l’informativa

– chi tratterà i tuoi dati personali e con quali finalità;

– per quanto tempo verranno conservati i dati personali che ti riguardano;

– sei tuoi dati potranno essere condivisi con terze parti per finalità commerciali o di altro tipo

Evita di:

– memorizzare nella app i dati delle credenziali di accesso (username, password, PIN) di carte di credito e sistemi di pagamento.”

Rubrica e Immagini

– Valuta sempre con attenzione se consentire l’accesso a determinate informazioni e funzionalità.

– Verifica che siano spiegati in modo chiaro dal fornitore della app tutti i possibili utilizzi delle tue immagini

Foto e video

Verifica che le persone riprese siano d’accordo a diffondere online la propria immagine ed eventuali informazioni sulla loro vita privata

Geolocalizzazione

Le app possono individuare e condividere con terzi la tua posizione e i tuoi spostamenti nel tempo, ad esempio utilizzando alcune funzioni del tuo smartphone

Minori

– Imposta un profilo ad uso limitato

– Non disattivare mai i controlli di sicurezza previsti dal tuo dispositivo

– Leggi con attenzione le descrizioni delle app che intendi installare

(Fonte Garante Privacy)

17 Set 2020

L’European Data Protection Board (EDPB) ha pubblicato le Linee-guida sulla definizione di titolare del trattamento e responsabile del trattamento ai sensi del Regolamento Europeo 679/2016, che saranno
sottoposte a consultazione pubblica fino al 19 ottobre 2020.

Dopo l’entrata in vigore del Regolamento sono infatti stati sollevati vari interrogativi sulle nozioni di contitolarità, nonché sugli obblighi dei responsabili del trattamento.

Lo scopo principale di tali Linee guida è infatti quello di chiarire i diversi ruoli e la distribuzione di responsabilità di “titolare”, “contitolare” e “responsabile” del trattamento dei dati.

Nell’applicazione del GDPR il concetto di Titolare gioca un ruolo fondamentale, insieme a quello di Responsabile, per comprendere gli obblighi di conformità alle norme da rispettare e per comprendere chi sia il soggetto legalmente obbligato a evadere le richieste d’esercizio dei diritti degli interessati.

L’EDPB ha descritto quali debbano essere le caratteristiche specifiche che contraddistinguono i ruoli di Titolare, Responsabile e Contitolare nell’ambito del Regolamento.

Ad esempio la società di servizi IT, pur essendo una società separata ma fornisce servizi di assistenza sui sistemi IT, deve essere considerata responsabile esterno. E’ inevitabile che la società fornitrice di servizi abbia accesso sistematicamente ai dati personali durante lo svolgimento del servizio, sebbene l’accesso ai dati non sia l’oggetto principale del servizio.

Devono considerarsi responsabili esterni anche la società di servizi per la conservazione dei dati e il provider di servizi cloud.

(Fonte Garante Privacy)

 

Approfondimenti:

I soggetti privacy

Titolare o responsabile del trattamento? Attenzione ai bandi di gara nella PA

Titolare o Responsabile. Chiarimenti del Garante sul ruolo dei Consulenti del Lavoro