Tag Archives: privacy

13 Dic 2017

Il ransomware è un programma informatico dannoso che infetta un dispositivo (PC, tablet, smartphone, smart TV), bloccando l’accesso ai contenuti (foto, video, file) e chiedendo un riscatto (in inglese, ransom) per «liberarli». La richiesta di pagamento con le relative istruzioni è presentata in una finestra che appare automaticamente sullo schermo del dispositivo infettato. L’utente ha pochi giorni per pagare: poi il blocco diventa definitivo. Ci sono due tipi principali di ransomware: i cryptor (che criptano i file contenuti nel dispositivo rendendoli illeggibili) e i blocker (che bloccano l’accesso al dispositivo infettato).

Pagare il riscatto è solo apparentemente la soluzione più facile. Oltre al danno economico, si corre infatti il rischio di non ricevere i codici di sblocco, o addirittura di finire in liste di «pagatori» potenzialmente soggetti a periodici attacchi ransomware. L’alternativa è quella di rivolgersi a tecnici specializzati capaci di sbloccare il dispositivo. Oppure si può formattare il dispositivo, ma con il rischio di perdere tutti i dati in esso contenuti se non è disponibile un backup. E’ consigliabile sempre segnalare o denunciare l’attacco ransomware alla Polizia postale, anche per aiutare a prevenire ulteriori truffe.

(fonte Garante Privacy)

Infografica Ransomware

1 Nov 2017

Le Autorità di protezione dati europee hanno approvato un parere su un sistema di trasporto intelligente denominato C-ITS, in base al quale dal 2019 le autovetture in circolazione in Europa  potranno “comunicare” tra loro e con altre infrastrutture di trasporto (segnaletica stradale, stazioni di trasmissione/ricezione) scambiandosi informazioni utili alla circolazione.

Il parere, di cui è relatore il Garante italiano, rappresenta un primo, importante passo per tutelare, fin dalla fase di progettazione, i dati personali impiegati da queste nuove applicazioni tecnologiche.

La piattaforma C-ITS è un progetto della Commissione europea  nato con l’obiettivo di migliorare la sicurezza stradale, l’efficienza del traffico, il comfort di guida e di ridurre  le emissioni inquinanti, aiutando l’automobilista a prendere le decisioni più opportune al verificarsi di determinati eventi esterni (ingorghi, incidenti stradali, condizioni metereologiche, lavori in corso).

I Garanti europei, pur riconoscendo la validità del progetto della Commissione, sottolineano come la diffusione su vasta scala di questa nuova tecnologia, che comporterà la raccolta e l’elaborazione di quantità senza precedenti di dati (stile di guida, velocità, direzione, geolocalizzazione), ponga nuove sfide ai diritti fondamentali e alla riservatezza.

Il C-ITS,  grazie alle capacità di trasmissione e ricezione dei veicoli sarà in grado di comunicare a qualsiasi veicolo “ricevente” e alle infrastrutture presenti sul percorso spostamenti e informazioni sugli stili di guida. Una forma di monitoraggio comportamentale permanente e diffuso che potrebbe generare un acuto senso di disagio nelle persone.

Un altro rischio per la privacy potrebbe derivare dalla mancanza di trasparenza. Attraverso i loro veicoli, gli automobilisti sarebbero di fatto dei “trasmettitori” continui. Devono essere quindi pienamente consapevoli delle caratteristiche del trattamento operato dalla piattaforma e dagli altri soggetti  con i quali scambiano dati nell’ambiente C-ITS (altri veicoli, produttori di automobili, gestori di strade, altri soggetti pubblici o privati) e di come questi ultimi elaborano le informazioni che ricevono.

Gli automobilisti – affermano i  Garanti – non possono essere sottoposti ad una sorveglianza continua e devono avere la possibilità di selezionare le opzioni che preferiscono (tempi, frequenza, posizione),  compresa quella di disattivare completamente il sistema.

La scelta di trasmissione peer-to-peer comporta anche un’altra sfida: i messaggi possono essere ricevuti da un numero illimitato di soggetti, le cui intenzioni e capacità tecnologiche non sono e non possono essere conosciute dall’automobilista. Ciò provoca un’asimmetria informativa tra i “mittenti” e i “ricevitori” dei messaggi che deve essere riequilibrata innalzando il livello di controllo sui dati personali. Informazioni sugli stili di guida e sulla localizzazione, infatti, possono essere molto appetibili per produttori di automobili, compagnie di assicurazione, società di marketing.
È necessario, inoltre, secondo le Autorità, indicare chiaramente i periodi di conservazione dei dati elaborati da tutte le parti coinvolte nella piattaforma C-ITS, e e vietare la creazione di un database centralizzato.

Le Autorità, infine, raccomandano, a fondamento di un sistema così complesso, di avviare quanto prima, la procedura per l’adozione di una normativa a livello comunitario.

(Fonte Garante Privacy)

26 Ott 2017

Gli utenti sono poco informati sulla gestione dei loro dati da siti web e app. E’ quanto emerge da un’indagine (denominata “GPEN sweep 2017 User Controls over Personal information”) condotta da ventiquattro Autorità per la protezione dei dati riunite nel Global Privacy Enforcement Network (GPEN), la rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di diversi Paesi, di cui fa parte il Garante italiano.

L’indagine ha preso in esame siti e app in diversi settori – vendita al dettaglio, finanza, banche, viaggi, social network, giochi d’azzardo, istruzione, sanità – ed ha analizzato le policy privacy con l‘obiettivo di verificare se per gli utenti  risulti facile capire quali informazioni vengano raccolte e per quali scopi, e quali siano le modalità per il loro trattamento, utilizzo e condivisione.

Le conclusioni a cui è giunta l’Autorità sono le seguenti:

– le informative privacy sono tendenzialmente generiche, prive di dettagli, e spesso formulate in modo impreciso;

– la maggior parte dei siti e delle app esaminate non informa gli utenti sull’uso che fa dei loro dati;

– le informative in genere non specificano a chi possono essere comunicati i dati personali raccolti;

– molti soggetti non spiegano agli interessati se e come i loro dati sono protetti, né come e dove sono conservati;

– solo in poco più della metà dei casi l’informativa spiega all’utente come esercitare il diritto di accesso ai propri dati personali.

L’indagine ha evidenziato che alcuni soggetti continuano a utilizzare riferimenti normativi obsoleti, e molti fra quelli che forniscono servizi a livello internazionale non sanno quale sia la normativa applicabile nei singoli Paesi. Inoltre, i siti di e-commerce che rilasciano fatture elettroniche spesso non forniscono alcuna informazione sulla propria attività attraverso il sito web.

Anche il settore bancario, secondo l’analisi delle Autorità, non fornisce adeguate informazioni. La situazione appare migliore in Italia: i siti web delle banche italiane, esaminati a campione dal Garante per la protezione dei dati personali, rispetto a quelli di altri Paesi offrono in generale agli utenti informazioni più adeguate e corrette.

(Fonte Garante Privacy)

13 Ott 2017

Droni: strani oggetti che sempre più spesso vediamo volare sulle nostre teste. Strumenti divertenti, spesso utili: ma ne facciamo un uso a “prova di privacy”?

Il Garante per la protezione dei dati personali lancia una nuova infografica con alcune semplici regole che è importante seguire per rispettare la sfera personale degli altri quando si utilizza un drone a fini ricreativi. La mini guida, presenta anche suggerimenti utili per tutelare la propria riservatezza da “occhi volanti” indiscreti.

  1. Segui sempre le regole: Usare i droni per scopi ricreativi è lecito e divertente, ma occorre sempre rispettare la privacy degli altri e informarsi bene sulle regole previste dall’ENAC per far volare i Sistemi Aeromobili a Pilotaggio Remoto (www.enac.gov.it).
  2. Fai attenzione alle riprese: in un luogo pubblico (parchi, strade, spiagge) è meglio evitare di invadere gli spazi personali e l’intimità delle persone. La diffusione di riprese realizzate con il drone (sul web, sui social media, in chat) può avvenire solo con il consenso dei soggetti ripresi. E’ possibile diffondere le immagini SOLO se i soggetti ripresi non sono riconoscibili, o perché ripresi da lontano.
  3. Rispetta gli altri: usare questi strumenti senza invadere la sfera personale degli altri, magari anche comunicando preventivamente le proprie intenzioni.
  4. NON DIVENTARE UN «ORECCHIO INDISCRETO»
  5. A prova di privacy: rispettare i principi di privacy by design e privacy by default
  6. Come tutelare la tua privacy: nel caso si ritenesse di essere stati vittime di violazioni della propria privacy, ci si può rivolgere al Garante per la protezione dei dati personali o, in alternativa, all’Autorità giudiziaria.

Scarica l’infografica del Garante

 

20 Mar 2017

L’avvocato collaboratore, che si introduce nel server di studio e copia una notevole mole di files, per riutilizzarli nel nuovo studio e condividerli con i colleghi, risponde di accesso abusivo a sistema informatico.

La Corte di Cassazione, quinta sezione penale, stabilisce il delitto di cui all’art. 615 ter c.p. sulla base dei seguenti elementi: a) la qualifica dell’imputato medesimo, mero collaboratore, incaricato di gestire solo un determinato pacchetto di clienti; b) il notevolissimo numero di files copiati e trasferiti su altri supporti magnetici, aventi tra l’altro ad oggetto contratti, rapporti ed atti del tutto estranei alla specifica “competenza per materia” affidata all’imputato; c) la specifica tecnica di copiatura, realizzata attraverso un sofisticato sistema a “matrioska”, in modo che i files copiati venissero occultati in sottocartelle, per nasconderne la provenienza.

Al caso si pongono due questioni: la violazione della privacy (di clienti e avvocati del vecchio studio) e l’accesso abusivo al server.

Per quanto riguarda l’accesso abusivo al server, la Cassazione ha precisato che il fatto che la persona condannata avesse accesso al server non esclude la punibilità, i file prelevati non rientrano tra quelli relativi al settore affidato contrattualmente all’avvocato. Questi aveva sì libero accesso al server, ma solo per i file che interessavano le pratiche a lui affidate e non a tutto il materiale documentale conservato.

Pertanto, l’imputato ha posto in essere le attività di accesso, successiva permanenza e copiatura di files all’interno dell’archivio informatico dello studio – ontologicamente incompatibili con le sue circoscritte mansioni di collaboratore e non di partner – in violazione del dissenso tacito dei titolari di studio che, a tal fine, gli avevano immediatamente vietato l’accesso al server, consentendogli di acquisire i documenti necessari solo per il tramite della segreteria.

A ciò si aggiunge, prosegue la Corte con sentenza n. 11994 del 13 marzo 2017, il trattamento illecito di dati personali di cui all’art. 167 D.Lgs. n. 196/2003, stante i numerosi “dati personali” contenuti nei files copiati, riguardanti i singoli clienti affidatisi allo studio per la cura dei propri interessi (che ovviamente non avevano prestato il loro consenso al suddetto trattamento). Quanto al dolo specifico richiesto da tale fattispecie, lo stesso è rinvenibile dalla stessa condotta del reo, laddove i dati in questione erano evidentemente destinati al riutilizzo in altra sua attività professionale (come si evince dal loro rinvenimento nei supporti informatici del nuovo studio).

Fonte: Italia Oggi del 20 marzo 2017

16 Mar 2017

Money transfer: Garante privacy, 11 mln di multa a cinque società per uso illecito di dati

Il Garante Privacy ha multato 5 società che operano nel settore del money transfer, per oltre 11 milioni di euro. Le società hanno usato in modo illecito i dati personali di più di  mille persone inconsapevoli [doc. web nn. 6009674, 6010438, 6009876, 6010258 e 6009746].

Le gravi violazioni sono emerse nel corso di un’indagine della Procura di Roma. Il Nucleo di polizia valutaria della Guardia di finanza su delega della magistratura ha infatti accertato che una multinazionale, in concorso con altre quattro società, raccoglieva e trasferiva in Cina somme di denaro riconducibili a imprenditori cinesi, in violazione non solo della normativa antiriciclaggio, ma anche di quella sulla protezione dei dati personali. La violazione della normativa sulla privacy ha determinando l’intervento del Garante.

Per assecondare il desiderio della clientela di impedire l’associazione tra le rimesse finanziarie e i reali mittenti le società operavano attraverso la tecnica del frazionamento (dividendo cioè le somme di denaro in più operazioni sotto la soglia prevista dalla normativa antiriciclaggio) e attribuivano i trasferimenti di denaro a più di mille clienti del tutto ignari, utilizzando illecitamente i loro dati.

Il trattamento dei dati avveniva senza consenso. I nominativi ai quali erano intestati i trasferimenti non erano mai i reali mittenti e, in alcuni casi, i moduli risultavano compilati da persone decedute o inesistenti, oppure non firmati. Gli invii di denaro, poi, venivano effettuati a pochi secondi l’uno dall’altro, per importi appena sotto soglia e indirizzati allo stesso destinatario. I nominativi cui erano attribuiti i trasferimenti, inoltre, erano tratti da fotocopie di documenti di identità, conservati in appostiti raccoglitori, e da utilizzare all’occorrenza.

Alla luce dei risultati dell’indagine, il Garante, tenuto conto della gravità delle violazioni commesse dalle società, del numero delle persone coinvolte i cui dati sono stati trattati senza consenso e della rilevanza della banca dati, ha inflitto le seguenti sanzioni: 5.880.000 euro alla multinazionale, 1.590.000, 1.430.000, 1.260.00 e 850.000 euro rispettivamente ad ognuna delle altre quattro società,  per un importo complessivo di oltre 11 milioni di euro.

Le società hanno 30 giorni di tempo dalla notificazione dei provvedimenti per il pagamento delle sanzioni.

(Fonte Garante Privacy)

28 Feb 2017

Stop del Garante privacy alla diffusione illecita dei dati personali relativi ai pagamenti delle bollette sul proprio sito web da parte di una società erogatrice di servizi idrici [doc. web n. 6026547].

A seguito di una segnalazione, l’Autorità ha accertato che, accedendo all’area del sito riservata ai clienti, risultavano liberamente consultabili una serie di link a file e cartelle contenenti dati personali, del segnalante e di altri soggetti, concernenti operazioni di pagamento effettuate on line. Risultavano facilmente reperibili nominativi, indirizzi e persino numeri di carte di credito – anche se parzialmente oscurati – e data di scadenza delle stesse.

L’Autorità ha ritenuto indebita tale pubblicazione di dati che, per tipologia e numerosità, esponeva gli interessati al rischio di pregiudizi rilevanti, tra cui quello di furto d’identità. Di conseguenza ha disposto il blocco della diffusione dei dati.

a) dispone, ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, il blocco del trattamento di dati personali effettuato da xxxx.,  relativo alla diffusione di dati personali come descritto in narrativa;

b) prescrive di comunicare, ai sensi dell’art. 157 del Codice, le cause che hanno determinato la descritta diffusione di dati personali, anche con riferimento agli obblighi previsti dagli artt. 31 ss. del Codice, nonché quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro adeguatamente documentato, entro 7 giorni dalla ricezione dello stesso.

Come ordinato dal Garante, la società ha comunicato di aver dato riscontro quanto richiesto e di aver intrapreso le iniziative per conformarsi alle disposizioni del Codice privacy.

(Fonte Garante Privacy)

28 Feb 2017

Yahoo! Emea Limited dovrà rimuovere il link alla pagina web di un sito statunitense in cui sono pubblicate informazioni inesatte e non aggiornate relative ad un cittadino italiano coinvolto in una vicenda giudiziaria accaduta in territorio americano. Lo ha stabilito il Garante privacy accogliendo il ricorso di un uomo che si era visto pubblicare propri dati personali (alcuni persino attinenti alle caratteristiche fisiche) su un sito che riporta gli arresti compiuti ogni giorno negli Stati Uniti [doc. web n. 6026501].

Il ricorrente – già rivoltosi, senza esito, oltre che al motore di ricerca anche a Microsoft e Aol –  lamentava il danno derivante dalla pubblicazione di notizie inesatte e obsolete relative ad un arresto subito nel 2015 per un reato poi derubricato in uno di minore gravità. Circostanza, quest’ultima, non riportata nel sito, in cui risultavano ancora le notizie relative alla prima ipotesi di reato e non venivano fornite informazioni sui successivi sviluppi della vicenda archiviata “con un non luogo a provvedere nell’immediato futuro”.

Il Garante, anche alla luce della direttiva 95/46/CE e delle sentenze della Corte di Giustizia europea ” Google Spain” del 13 maggio 2014 e “Weltimmo” del 1 ottobre 2015, ha innanzitutto affermato la competenza dell’Autorità italiana sul caso in esame, ritenendo applicabile il diritto nazionale sulla base del principio di stabilimento. Tale decisione è stata confermata anche da una recente sentenza pronunciata dal Tribunale di Milano nell’ambito di un giudizio di opposizione attivato da Yahoo! contro un precedente provvedimento del Garante in cui si stabilivano principi analoghi.

Il Tribunale, oltre a confermare la giurisdizione dell’Autorità italiana alla luce della direttiva europea 95/46/CE così come interpretata dalla Corte di Giustizia, ha affermato che alla stessa conclusione si può comunque pervenire attraverso la necessità di garantire il principio della effettività della tutela “a fronte di una lesione derivante da un illecito trattamento di dati personali avvenuti on line e i cui effetti dannosi si sono verificati in Italia“.

Nell’accogliere il ricorso, l’Autorità ha dunque ritenuto illecita la diffusione di informazioni non aggiornate e inesatte riferite al ricorrente, perché in contrasto con la normativa europea e nazionale, e ha ordinato a Yahoo!  di provvedere alla rapida rimozione, in associazione con il nome e cognome dell’uomo, dell’Url alla pagina web.

L’Autorità, infine, ha dichiarato non luogo a provvedere sul ricorso nei confronti di Microsoft e di Aol che hanno provveduto a rimuovere il link nel corso del procedimento.

(Fonte Garante Privacy)

28 Feb 2017

L’Autorità Garante Privacy, ha varato il piano ispettivo per il primo semestre 2017. L’attività si concentrerà su tre settori delicati: SPID, call center, sistema statistico nazionale, settore telemarketing [doc. web n. 6026593]. Le verifiche del Garante si incentreranno anche sui trattamenti di dati effettuati per il rilascio dei visti da parte dei Consolati italiani all’estero.

L’attività ispettiva verrà svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza sulla base del protocollo di intesa  siglato lo scorso anno che ha rafforzato l’attività di collaborazione tra la Guardia di Finanza e il Garante.

Le ispezioni riguarderanno, come di prassi, anche le istruttorie avviate su segnalazione,  reclamo o  ricorso dei cittadini, così come  la verifica dell’obbligo di notificazione, il rispetto delle norme sull’informativa e il consenso, l’adozione delle misure di sicurezza a protezione dei dati sensibili trattati da soggetti pubblici e privati.

Intanto il bilancio 2016 segna, rispetto all’anno precedente, un incremento di circa il 38% dei procedimenti sanzionatori avviati  che sono saliti a 2.339, diversi dei quali relativi a violazioni di dati personali subite (data breach). Le sanzioni già riscosse dall’erario sono state pari a 3 milioni e 300 mila euro. 53 sono state le segnalazioni all’autorità giudiziaria, la  maggior parte delle quali relative a casi di mancata adozione delle  misure minime di sicurezza.

Gli accertamenti, svolti anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy, hanno riguardato numerosi e delicati settori, sia nell’ambito pubblico che privato. Per  quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti di dati effettuati da società che operano nel settore del car sharing; a quelle che si occupano di web marketing e marketing telefonico; alle società che si occupano di ricerca genetica; alle agenzie di lavoro interinale; alle società di assistenza tecnica e recupero dati per pc e telefonia mobile; ai giochi on line; alle finanziarie. Per quanto riguarda il settore pubblico l’attività di verifica si è concentrata particolarmente sui Caf e le grandi banche dati pubbliche, sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit.

Il quadro dell’attività ispettiva del Garante nel 2016 mostra una ancora insufficiente informazione agli utenti sull’uso dei dati personali, sia  da parte delle Pa che delle aziende (200 violazioni riscontrate); una mancata adozione delle misure di sicurezza; tempi eccessivi di conservazione dei dati di traffico telefonico e telematico. Diversi anche i procedimenti sanzionatori per omessa notificazione al Garante con riferimento a trattamenti di particolare delicatezza e le sanzioni  per non aver risposto alle richieste di informazione e documentazione del Garante.

(fonte Garante Privacy)

20 Feb 2017

A proposito di privacy. Intervista a Patrizia Meo

Bre Magazine di febbraio 2017 – di Emanuela Serughetti

Oggi più che mai è richiesta un’abdicazione alle proprie convinzioni o alla propria corriva interpretazione del rapporto con i figli e, in generale, del tipo di società in cui viviamo. Ciò che si è imparato fino ad oggi, frutto magari di vecchie scuole di pensiero e di vita, per quanto concerne il rapporto con gli altri, l’idea di socializzazione, di sicurezza e di relazione, è ormai scaduto e al pari di un’applicazione digitale deve essere continuamente aggiornato. Ci sono problematiche che i social networks hanno ultimamente portato alla luce, che vanno letteralmente contro il pelo della vita per come siamo stati abituati a conoscerla.

Leggi l’intero articolo qui BRE – 9 – Febbraio 2017-1