Archivio

siti web

28 Apr 2019

Il Garante Privacy ha approvato un provvedimento sull’uso corretto dei dati degli elettori in vista delle elezioni europee del 26 maggio. Il rispetto delle norme in materia di protezione dei dati è essenziale “per mantenere la fiducia dei cittadini e garantire il regolare svolgimento in tutte le fasi delle consultazioni elettorali”.

Nel provvedimento, in corso di pubblicazione sulla G.U., l’Autorità si sofferma, in particolare, sull’uso di messaggi politici e propagandistici inviati agli utenti dei social network (come Facebook e Linkedin) o su altre piattaforme di messaggistica (come Skype, Whatsapp, Messenger), ribadendo che tale uso deve rispettare le norme in materia di protezione dei dati  Come dimostrato da casi recenti di profilazione massiva degli elettori, è fondamentale proteggere il processo elettorale ed evitare rischi di interferenze e turbative esterne.

Queste, in sintesi, le indicazioni del Garante.

  1. Dati utilizzabili senza consenso

Per contattare gli elettori ed inviare materiale di propaganda, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono usare senza consenso i dati contenuti nelle liste elettorali detenute dai Comuni. Possono essere usati anche altri elenchi e registri pubblici in materia di elettorato passivo e attivo (es. elenco dei cittadini residenti all’estero aventi diritto al voto o degli elettori italiani che votano all’estero per le elezioni del Parlamento europeo) e altre fonti documentali, detenute da soggetti pubblici, accessibili da chiunque. Si possono utilizzare senza previo consenso anche i dati degli aderenti a partiti o movimenti politici o di soggetti che hanno con essi contatti regolari.

  1. Dati utilizzabili solo con il previo consenso

E’ necessario il consenso informato invece per poter utilizzare recapiti telefonici contenuti negli elenchi telefonici e quindi per effettuare chiamate o inviare sms e mail.

Attenzione ai dati reperiti sul web.

Sebbene risulti agevole la reperibilità di dati personali in Internet (quali recapiti telefonici o indirizzi di posta elettronica) questo non comporta la libera disponibilità degli stessi né autorizza il trattamento di tali dati per qualsiasi finalità, ma soltanto per gli scopi sottesi alla loro pubblicazione. Sarà necessario il consenso per poter trattare i dati reperibili sul web, in particolare, ad esempio:

  • dati raccolti automaticamente in Internet tramite appositi software (v. c.d. web or data scraping);
  • liste di abbonati ad un provider;
  • dati pubblicati su siti web per specifiche finalità di informazione aziendale, comunicazione commerciale o attività associativa;
  • dati consultabili in Internet solo per le finalità di applicazione della disciplina sulla registrazione dei nomi a dominio;
  • dati pubblicati dagli interessati sui social network.

Inoltre, i messaggi politici e propagandistici inviati agli utenti di social network (come Facebook o Linkedin), in privato come pubblicamente sulla loro bacheca virtuale, sono sottoposti alla disciplina in materia di protezione dei dati (artt. 5, 6, 7, 13, 24, 25 del Regolamento). La medesima disciplina è altresì applicabile ai messaggi inviati utilizzando altre piattaforme, come Skype, WhatsApp, Viber, Messanger.

Necessario il consenso anche per i dati raccolti nell’esercizio di attività professionali, di impresa o nell’ambito della professione sanitaria.

Serve il consenso anche per l’utilizzo dei dati di persone contattate in occasione di singole specifiche iniziative (es. petizioni, proposte di legge, referendum, raccolte di firme) e di quelli di sovventori occasionali.

Chi intende utilizzare, acquisendole da terzi, liste cosiddette “consensate” (dati raccolti previa informativa e consenso), è tenuto a verificare che siano stati effettivamente rispettati gli adempimenti di legge. Lo stesso vale per i servizi di propaganda elettorale curata da terzi a favore di movimenti, partiti, candidati.

  1. Dati non utilizzabili

Non sono in alcun modo utilizzabili i dati raccolti o usati per lo svolgimento di attività istituzionali come l’anagrafe della popolazione residente; gli archivi dello stato civile; le liste elettorali di sezione già utilizzate nei seggi; gli elenchi di iscritti ad albi e collegi professionali; gli indirizzi di posta elettronica tratti dall’Indice nazionale dei domicili digitali.

Non sono utilizzabili i dati resi pubblici sulla base di atti normativi per finalità di pubblicità o di trasparenza come, ad esempio quelli presenti nei documenti pubblicati nell’albo pretorio on line; quelli relativi agli esiti di concorsi; quelli riportati negli organigrammi degli uffici pubblici contenenti recapiti telefonici ed indirizzi mail.

Non si possono infine utilizzare dati raccolti da titolari di cariche elettive e di altri incarichi pubblici nell’esercizio del loro mandato elettivo o dell’attività istituzionale.

  1. Informativa a cittadini

Gli elettori devono essere sempre informati sull’uso che verrà fatto dei loro dati personali. Se i dati sono ottenuti direttamente presso gli interessati, l’informativa va data all’atto della raccolta. Per i dati acquisiti da altre fonti è necessario che gli interessati siano informati in un tempo ragionevole al massimo entro un mese. Qualora tale adempimento sia però impossibile o comporti uno sforzo sproporzionato, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono esimersi dall’informativa, a condizione che adottino misure adeguate per tutelare i diritti e le libertà dei cittadini, utilizzando, per esempio, modalità pubbliche di informazione.

  1. Sanzioni

Il Garante ricorda che la violazione della disciplina sui dati comporta sanzioni che possono essere anche molto onerose, come previsto dal Gdpr, fino a 20 milioni di euro.

Inoltre, in ragione delle recenti modifiche introdotte dal legislatore europeo al Regolamento Ue 1141/2014 sullo statuto e il finanziamento di partiti e fondazioni politiche europee, l’Autorità europea per i partiti politici e le fondazioni politiche europee – se viene a conoscenza di una decisione di un’Autorità nazionale di protezione dati da cui sia possibile evincere che la violazione delle norme sia connessa ad attività volte ad influenzare o a tentare di influenzare l’esito delle elezioni europeeè tenuta ad avviare una procedura di verifica, all’esito della quale potranno essere applicate sanzioni pecuniarie che potrebbero ammontare, nei casi più gravi, al 5% del bilancio annuale del partito o della fondazione.

(fonte Garante Privacy)

 

24 Mar 2019

Tik Tok è la nuova app che sta conquistando i giovani.  Nel 2018, TikTok è stata una delle app più scaricate nel mondo. 800 milioni di iscritti, sparsi in 150 nazioni, il 41% dei quali con un’età compresa tra 16 e 24 anni. In Italia – secondo DataMediaHub – è stata scaricata oltre 7 milioni di volte. Gli utenti attivi nel nostro Paese sono 2 milioni e 400 mila. Di questi il 65% sono donne mentre il 35% uomini. In totale, gli utenti aprono l’app in media 6 volte al giorno e per un totale di 34 minuti. Ogni mese, la media di visualizzazioni dei contenuti video presenti su TikTok è di circa 3 miliardi.

Non più muser ma tiktoker

TikTok è conosciuta anche con il nome cinese Douyin in Cina, è un social network cinese lanciato nel settembre 2016 da Zhang Yiming. Il successo della piattaforma per video cinese è dovuto anche all’inglobazione che TikTok ha fatto di Musical.ly.

L’applicazione consente agli utenti di guardare clip musicali, creare brevi clip, della durata che va da un minimo di 15 secondi fino a un massimo di 60 secondi, ai quali si possono aggiungere effetti particolari e diverse animazioni.  Gli utenti per creare i propri video musicali, scelgono la loro canzone preferita da un elenco, e possono registrare un video mentre si è intenti a ballare, cantare o recitare. “Un’esperienza personalizzata appositamente per te basata sui contenuti che guardi, ti piacciono e condi

 

vidi!” La lista musicale di Tik Tok contiene, una vasta gamma di generi musicali (hip-hop, elettronica, rock, dance) e questo garantisce una scelta maggiore. L’app trova e suggerisce all’utente le clip più rilevanti ed interessanti in base alle abitudini dell’utente, di ricerca e alle interazioni con video e creator simili, con video scelti appositamente.

Alcune di queste funzioni erano presenti già in Musical.ly, le novità di Tik Tok sono: i filtri di movimento, l’effetto “specchio deformante” della fotocamera, i filtri Vr-Type che possono essere

sbloccati con il semplice battito delle palpebre e gli effetti Chroma Key e Greenscreen che possono essere usati per creare dei bellissimi sfondi.  Le clip, oltre alla registrazione live, possono essere salvate e poi caricate da quelle salvate nella gallery del profilo. Al momento l’app è disponibile per iOS e Android.

Nelle linee guida possiamo leggere che la missione di Tik Tok è diffondere nel mondo creatività, conoscenza e momenti importanti nella vita quotidiana.

Da notare che, oltre al nome TikTok viene riportata la dicitura “include Musical.ly”, per sottolineare che le due piattaforme sono collegate.

Questione di privacy

Come quasi tutti i social, anche per TikTok bisogna avere almeno 13 anni, “DO NOT use the app if you are under 13”. Sappiamo però che questo limite può essere superato dai ragazzi inserendo una data di nascita falsa. Molti bambini, ad esempio, inseriscono l’età dei genitori.

L’app permette di avere un account pubblico, in questo modo tutti possono vedere ciò che condividono gli utenti e ottenere “Mi Piace”. Il rischio? Che i ragazzi possano essere contattati direttamente sull’app.

Se nella sezione privacy, l’utente sceglie la possibilità di creare un profilo privato, tutti i video possano essere visti solo da chi li ha creati e dai follower accettati. Con un account privato, infatti, si possono approvare o rifiutare le richieste degli utenti e limitare i messaggi in arrivo dei follower.

Il consenso privacy e la sanzione dalla FTC

La Federal Trade Commission ha multato l’applicazione TikTok con una sanzione record da 5,7 milioni di dollari per avere raccolto i dati dei minori di 13 anni senza il consenso dei genitori. E’ la più alta sanzione civile mai comminata dall’ente statunitense che regolamenta il mercato per un caso che riguarda la privacy dei bambini.

Il Children’s Online Privacy Protection Act (COPPA), parla chiaro: per gli utenti che abbiano un’età inferiore ai 13 anni è necessaria la richiesta di consenso ai genitori per il trattamento dei dati.

TikTok era a conoscenza del fatto che molti ragazzini stessero usando l’app per i video di breve durata – d’altronde, il target di riferimento, è proprio il mondo teen – ma non hanno cercato l’autorizzazione parentale prima di raccogliere nomi, indirizzi e-mail e altre informazioni personali. “Questa pena da record dovrebbe essere un promemoria per tutti i servizi online e i siti Web destinati ai bambini – ha detto il presidente della Ftc, Joe Simons – prendiamo molto sul serio l’applicazione del COPPA e non ci sarà tolleranza per le società che ignorano in modo la legge”. Sempre dalla comunicazione dell’agenzia che tutela i consumatori statunitensi si legge che, per la registrazione, venivano richiesti il numero di telefono, nome e cognome, l’immagine di profilo e una breve descrizione.

Gli account degli iscritti erano pubblici di default, il che significava che il profilo di un bambino poteva essere visto da sconosciuti. Se è vero che il sito consentiva agli utenti di modificare le impostazioni predefinite in modo che solo gli autorizzati potessero vederle, rimanevano pubbliche le immagini di profilo e le biografie. Infatti, ci furono segnalazioni in merito ad adulti che cercavano di contattare i bambini tramite l’app Musical.ly che, fino a ottobre del 2016, dava la possibilità di visualizzare vicini alla propria posizione.

Negli Stati Uniti, la legge impone che il minore di 13 anni deve ottenere il consenso dei genitori e presentarlo alla piattaforma se vuole iscriversi ai social.

In Europa, il Regolamento Europeo 2016/679 per la protezione dei dati, stabilisce all’art. 8 che, il “trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni”. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.

In Italia, il D.lgs 101/2018 con il quale l’ordinamento italiano si è allineato al GDPR (settembre 2018) ha stabilito che “il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione”. Al di sotto dei 14 anni, il consenso viene autorizzato dal titolare della responsabilità genitoriale.

Rispetto al passato è stato fatto qualcosa, certamente bisognerà verificare come questo obbligo verrà controllato.

27 Ago 2018

La messa in rete su un sito Internet di una fotografia, liberamente accessibile su un altro sito Internet con l’autorizzazione dell’autore, necessita di una nuova autorizzazione da parte di tale autore.

Infatti, con siffatta messa in rete, la fotografia viene messa a disposizione di un pubblico nuovo.

La corte di Giustizia Europea con sentenza del 7 agosto 2018 resa nella causa C-161/17, ha fornito la corretta interpretazione della nozione di “comunicazione al pubblico”, ai sensi dell’articolo 3, paragrafo 1, della direttiva 2001/29/CE sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione.

La messa in rete su un sito Internet di una fotografia precedentemente pubblicata su un altro sito Internet, va qualificata come “messa a disposizione” e, di conseguenza, come “atto di comunicazione”. Pertanto necessita di una nuova autorizzazione dell’autore.

La domanda di pronuncia pregiudiziale sottoposta ai giudici europei è stata presentata nell’ambito di una controversia che vedeva coinvolto un fotografo che aveva autorizzato i gestori di un sito Internet dedicato ai viaggi a pubblicare sul loro sito una delle sue foto. Un’alunna di un istituto scolastico, ha scaricato la foto in oggetto a partire da tale sito (dove essa era liberamente accessibile) per illustrare un progetto scolastico. Quest’ultimo è stato in seguito pubblicato sul sito Internet della scuola.

Per questa ragione il fotografo ha intrapreso un’azione dinanzi ai giudici tedeschi per vietare di riprodurre la sua foto. Altresì, ha reclamato il pagamento di una somma di € 400 a titolo di risarcimento danni.

A tale riguardo, il fotografo ha sostenuto di aver concesso un diritto d’uso solamente al gestore del sito Internet di viaggio e ha affermato che la messa in rete della fotografia sul sito Internet della scuola, costituisce una violazione del suo diritto d’autore. In tale contesto, il Bundesgerichtshof (Corte federale di giustizia, Germania) ha chiesto alla Corte di giustizia di interpretare la direttiva sul diritto d’autore, ai sensi della quale l’autore di un’opera ha, in linea di principio, il diritto esclusivo di autorizzare o vietare la comunicazione dell’opera al pubblico.

Innanzitutto, la Corte ricorda che una fotografia può essere protetta dal diritto d’autore alla condizione che essa costituisca una creazione intellettuale dell’autore, che ne rifletta la personalità e si manifesti attraverso le scelte libere e creative di quest’ultimo nella realizzazione di tale fotografia.

Quindi, ogni utilizzazione di un’opera effettuata da un terzo in assenza del previo consenso dell’autore deve essere considerata lesiva dei diritti dell’autore di detta opera.

Il problema nel caso in esame è se la messa in rete su un sito Internet di una fotografia precedentemente pubblicata su un altro sito Internet (la fotografia era stata copiata, tra i due caricamenti in rete, su un server privato), deve essere qualificata come «messa a disposizione» e, di conseguenza, come «atto di comunicazione».

La messa in rete di un’opera protetta dal diritto d’autore su un sito Internet diverso da quello sul quale è stata effettuata la comunicazione iniziale con l’autorizzazione del titolare del diritto d’autore, nelle circostanze come quelle di cui trattasi, dev’essere qualificata come messa a disposizione di un pubblico nuovo. Il pubblico preso in considerazione dal titolare del diritto d’autore nel momento in cui ha autorizzato la comunicazione della sua opera sul sito Internet sul quale quest’ultima è stata inizialmente pubblicata, è costituito dai soli utilizzatori di detto sito, e non dagli utilizzatori del sito Internet sul quale l’opera è stata successivamente messa in rete senza l’autorizzazione di detto titolare e dagli altri internauti.

Un sito differente si rivolge ad un pubblico differente, anche se i mezzi tecnici di comunicazione sono i medesimi.

Cosa diversa sarebbe stato se l’alunna avesse utilizzato solo un collegamento ipertestuale (un link) che avesse rimandato direttamente alla fotografia. In questo modo, i diritti del titolare sarebbero stati tutelati.

Infine, il fatto che il titolare del diritto d’autore non avesse posto restrizioni alle possibilità di utilizzo della fotografia da parte degli internauti non è rilevante.

(Corte di Giustizia UE, Seconda Sezione, sentenza 7 agosto 2018, causa C-161/17)

30 Nov 2017

Se un indirizzo email è presente su un social network non significa che possa essere utilizzato liberamente per qualsiasi scopo. Per inviare proposte commerciali, ad esempio, è sempre necessario il consenso dei destinatari. Per questi motivi il Garante per la privacy ha vietato a una società l’ulteriore trattamento di indirizzi email senza consenso per attività di marketing [doc. web n. 7221917].

L’intervento del Garante ha preso l’avvio dalla segnalazione di una società di consulenza finanziaria che lamentava l’invio di numerose email promozionali indirizzate alle caselle di posta elettronica di alcuni suoi promotori senza che questi ne avessero autorizzato la ricezione.

Dagli accertamenti, svolti presso la società dall’Autorità in collaborazione con il  Nucleo Speciale Privacy della GdF, è emerso che la raccolta degli indirizzi di posta elettronica avveniva, oltre che con altre modalità, anche attraverso l’instaurazione di rapporti su Linkedin e Facebook o “pescando” contatti sui social. La società solo negli ultimi due anni ha inviato circa 100.000 email pubblicitarie.

Il Garante, anche sulla base delle Linee guida del 4 luglio 2013  che hanno disciplinato peraltro proprio il fenomeno del “social spam“, ha quindi ritenuto illecito il trattamento degli indirizzi di posta elettronica.

(Fonte Garante Privacy)

26 Ott 2017

Gli utenti sono poco informati sulla gestione dei loro dati da siti web e app. E’ quanto emerge da un’indagine (denominata “GPEN sweep 2017 User Controls over Personal information”) condotta da ventiquattro Autorità per la protezione dei dati riunite nel Global Privacy Enforcement Network (GPEN), la rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di diversi Paesi, di cui fa parte il Garante italiano.

L’indagine ha preso in esame siti e app in diversi settori – vendita al dettaglio, finanza, banche, viaggi, social network, giochi d’azzardo, istruzione, sanità – ed ha analizzato le policy privacy con l‘obiettivo di verificare se per gli utenti  risulti facile capire quali informazioni vengano raccolte e per quali scopi, e quali siano le modalità per il loro trattamento, utilizzo e condivisione.

Le conclusioni a cui è giunta l’Autorità sono le seguenti:

– le informative privacy sono tendenzialmente generiche, prive di dettagli, e spesso formulate in modo impreciso;

– la maggior parte dei siti e delle app esaminate non informa gli utenti sull’uso che fa dei loro dati;

– le informative in genere non specificano a chi possono essere comunicati i dati personali raccolti;

– molti soggetti non spiegano agli interessati se e come i loro dati sono protetti, né come e dove sono conservati;

– solo in poco più della metà dei casi l’informativa spiega all’utente come esercitare il diritto di accesso ai propri dati personali.

L’indagine ha evidenziato che alcuni soggetti continuano a utilizzare riferimenti normativi obsoleti, e molti fra quelli che forniscono servizi a livello internazionale non sanno quale sia la normativa applicabile nei singoli Paesi. Inoltre, i siti di e-commerce che rilasciano fatture elettroniche spesso non forniscono alcuna informazione sulla propria attività attraverso il sito web.

Anche il settore bancario, secondo l’analisi delle Autorità, non fornisce adeguate informazioni. La situazione appare migliore in Italia: i siti web delle banche italiane, esaminati a campione dal Garante per la protezione dei dati personali, rispetto a quelli di altri Paesi offrono in generale agli utenti informazioni più adeguate e corrette.

(Fonte Garante Privacy)