Tag Archives: privacy

20 Set 2019
Crescono le esigenze dell’impresa e cresce l’universo della consulenza. È un mondo articolato, che va dagli studi legali specializzati nei più vari ambiti del diritto e nella protezione della privacy e dei patrimoni sino a realtà particolari come broker del noleggio e start up davvero innovative.
 Fra i protagonisti anche i partner tecnologici, forti della visione strategica e degli strumenti più efficaci per affrontare le sfide dell’Industria 4.0.
17 Giu 2019

Risponde il dirigente scolastico del danno causato all’istituto dal pagamento di una sanzione amministrativa irrogata dal Garante della privacy per la pubblicazione online di una circolare contente dati di alunni disabili, sentenza n. 246/2019 la Corte dei Conti- Sezione Giurisdizionale per il Lazio.

La Sezione giurisdizionale per il Lazio è stata chiamata a pronunciarsi sulla pretesa fatta valere dalla Procura regionale a carico della Dirigente scolastica di un Istituto professionale e di tre docenti appartenenti all’Istituto stesso, per asserito danno indiretto cagionato all’amministrazione di appartenenza, derivante dalla pubblicazione sulla rete internet di una circolare contenente dati idonei a rivelare lo stato di salute di alunni minori affetti da disabilità.

La pubblicazione della circolare, contente dati di studenti minori di età e disabili, era stata valutata dal Garante della Protezione dei dati Personali quale lesione al diritto alla riservatezza dei minori e delle famiglie, e come tale punita con l’irrogazione di una sanzione amministrativa, per violazione dell’art. 22, comma 8 del Codice per la protezione di dati personali, per un importo di euro 20.000,00. Tale sanzione fu pagata con i fondi della scuola.

La sezione ha ritenuto il comportamento del Dirigente scolastico gravemente negligente per non aver tenuto conto della necessità della riservatezza dei dati idonei a rivelare lo stato di salute degli studenti minori dell’Istituto affetti da disabilità, ed ha consentito la divulgazione nella rete internet della circolare in forma integrale, non avendo prescritto alcun divieto di pubblicazione, né in ultimo controllato che la circolare, a differenza di quelle adottate di consueto, non venisse pubblicata sul sito web dell’Istituto.

La divulgazione del nominativo ha così leso la personalità dello studente disabile, che si è conseguentemente lamentato del trattamento illecito dei dati personali.

Tale sanzione, con decisione pur sempre riconducibile alla Dirigente scolastica, è stata pagata con fondi appartenenti all’Istituto, le cui casse risultano quindi essere state depauperate ad opera della condotta ad un tempo attiva ed omissiva della Dirigente scolastica, compendiatasi in una grave violazione della normativa a presidio della tutela del diritto alla riservatezza, a cui si è posto rimedio con il pagamento con denaro pubblico.

La Corte ha inoltre stabilito che nessuna colpa può essere addossata a chi ha scritto e pubblicato manualmente la circolare, in quanto la responsabilità di verificare la correttezza e la legittimità di una circolare è solo del dirigente scolastico e non può essere estesa ai docenti coinvolti nella stesura e nella pubblicazione.

Sul dirigente scolastico gravava l’obbligo di verificare la correttezza e la legittimità della circolare sottoscritta e di monitorarne i successivi passaggi fino anche ad impedirne la pubblicazione, in quanto il Dlgs 165/ 2001 attribuisce direttamente alla dirigenza la responsabilità dell’organizzazione e della gestione scolastica.

http://www.dirittodeiservizipubblici.it/

12 Mag 2019

Nessun silenzio-assenso sulla richiesta di autorizzazione all’installazione e utilizzo nei luoghi di lavoro degli impianti audiovisivi e degli altri strumenti di controllo previsti dall’art. 4, comma 1, della L. n.300/1970 e successive modificazioni. A chiarirlo è il Ministero del Lavoro nell’interpello n.3/2019 in risposta all’istanza presentata dal Consiglio nazionale dell’Ordine dei Consulenti del Lavoro, precisando che la stessa norma non consente l’installazione e l’utilizzo degli impianti di controllo senza un atto espresso di autorizzazione sia di carattere negoziale, come un accordo sindacale, sia di carattere amministrativo, come un provvedimento, per via della disuguaglianza di stato tra datore di lavoro e lavoratori.

Infatti, le disposizioni contenute all’art. 4 affidano, in primis, ad un accordo tra la parte datoriale e le rappresentanze sindacali la possibilità di impiego degli impianti e degli altri strumenti che consentano anche il controllo dell’attività dei lavoratori. In mancanza di accordo, l’installazione è subordinata all’autorizzazione dell’Ispettorato del lavoro.

Già con nota del 16 aprile 2012 (prot. n. 7162) la Direzione Generale per l’attività ispettiva del Ministero aveva fornito istruzioni operative in relazione al rilascio delle autorizzazioni previste dall’articolo 4 della legge n. 300del 1970. In quella occasione era stata sottolineata la necessità di considerare i presupposti legittimanti la richiesta di installazione di impianti di controllo, ovvero l’effettiva sussistenza delle esigenze organizzative e produttive, sottolineando inoltre il necessario rispetto del Codice per la privacy, nonché dei successivi provvedimenti del Garante, in particolare delle prescrizioni del Provvedimento generale sulla videosorveglianza dell’8 aprile 2010, nel quale, tra l’altro, si afferma l’esclusione dell’applicazione del principio del silenzio-assenso in questo caso specifico.

(Fonte: Consulenti del Lavoro)

12 Mag 2019

“Abbiamo avviato l’istruttoria, necessaria ad accertare le relative responsabilità e a prescrivere le misure opportune per limitare i danni suscettibili di derivarne agli interessati: in particolare avvocati e loro assistiti”. Il presidente dell’Autorità garante per la protezione dei dati personali, Antonello Soro, risponde così all’Agi in relazione al caso del”hackeraggio delle email di migliaia di avvocati romani ad opera di Anonymous.

“Sin da ora – sottolinea Soro – emerge l’assoluta inadeguatezza delle misure di sicurezza correlate alla gestione di un servizio, quale la pec, che dovrebbe garantire la massima riservatezza e su cui, peraltro, si basa l’intera architettura del processo telematico”.

Il Presidente Antonello Soro, interviene con questo comunicato stampa dopo l’attacco di Anonymous alle caselle pec degli avvocati di Roma, circa 30mila e-mail certificate violate, comprese quella della sindaca Virginia Raggi.

«Salve cittadini Italiani, oggi Anonymous, con questa operazione e con l’avvicinarsi dell’anniversario della loro cattura, vuole ricordare i vecchi Amici Aken e Otherwise arrestati nel Maggio 2015», si legge nel post del network pro-Wikileaks che annuncia l’operazione di hackeraggio. E conclude: «Non avete capito che Anonymous non ha leader? Arrestati 2 altri 100 ne nascono. Abbiamo continuato la nostra lotta, e nonostante gli arresti noi non ci arrendiamo».

Il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic) della Polizia Postale è ora al lavoro per accertare l’esatta portata della violazione rivendicata da Anonymous Italia. Al momento la Procura capitolina non ha formalmente aperto un fascicolo di indagine ma il Cnaipic è intervenuta per acquisire dati ed elementi per le indagini successive.

L’attacco informatico subito dall’Ordine degli Avvocati di Roma – sottolinea il presidente Antonino Galletti – «rappresenta una gravissima violazione non solo della privacy degli iscritti e dell’integrità dell’istituzione forense, ma anche una violazione penalmente rilevante di un diritto costituzionalmente garantito, quale quello dell’inviolabilità della corrispondenza». «I tecnici della azienda di software che fornisce l’infrastruttura tecnologica all’Ordine capitolino – spiega – sono al lavoro insieme ai funzionari della polizia postale per verificare l’entità del danno e chiudere la falla. Secondo le verifiche dell’azienda, le caselle di posta violate sono quelle i cui titolari non hanno cambiato la password iniziale assegnata dal fornitore. Tutti i responsabili – conclude – saranno naturalmente denunciati all’autorità giudiziaria».

 

Fonte: Il Sole 24 Ore, Garante Privacy

29 Mar 2019

Bocciato il “braccialetto” elettronico al polso degli operatori ecologici. Il Garante per la privacy ha chiesto ad una società che si occupa della raccolta dei rifiuti per conto della municipalizzata di un comune di utilizzare dispositivi elettronici alternativi che non ledano la dignità della persona.

La pronuncia è arrivata a conclusione di un procedimento aperto d’ufficio sull’onda dell’interesse mediatico suscitato dalla vicenda.

Nell’aprile dello scorso anno la società aveva consegnato a più di 70 dipendenti addetti alla pulizia delle strade dei dispositivi indossabili dotati anche di un gps, con i quali effettuare la lettura delle etichette elettroniche collocate sui cestini getta rifiuti e segnalare l’eventuale spostamento di quelli non ancorati al suolo. Obiettivo dichiarato della società era quello di rendicontare il lavoro svolto all’Azienza municipalizzata comunale.

Solo dopo l’avvio dell’istruttoria dell’Autorità la società aveva stipulato un accordo sindacale nel  quale si stabiliva, tra l’altro, la lettura quotidiana dei tag per ogni turno di lavoro e si limitava l’attivazione del gps al massimo ad un turno di lavoro a settimana, previa comunicazione al lavoratore.

E’ emerso che nel modello di informativa ai dipendenti, quanto alle finalità dei sistemi si fa riferimento ad “esigenze di sicurezza [e] tutela del patrimonio aziendale” che, con riguardo all’uso dei “dispositivi mobili”, non sono menzionate né nelle note di riscontro inviate all’Autorità nel presente provvedimento né nel menzionato accordo dell’11 giugno 2018.

Pertanto, la società  dovrà provvedere ad aggiornare l’ informativa da fornire ai dipendenti ai sensi dell’art. 13 del Regolamento, escludendo il riferimento alla menzionata finalità relativamente al trattamento dei dati da effettuarsi mediante dispositivi mobili.

Il Garante Privacy, pur giudicando tale configurazione non in contrasto con i principi di necessità e proporzionalità del Regolamento Ue rispetto alle finalità perseguite dalla società, ha tuttavia ritenuto necessario individuare ulteriori misure maggiormente rispettose della dignità dei lavoratori, prescrivendo alla società:

  • di individuare i tempi di conservazione dei registri necessari a gestire le eventuali contestazioni da parte della società municipalizzata
  • di indicare preventivamente e tassativamente i casi specifici (descritti nel dettaglio) nei quali si renderà necessario interconnettere le informazioni allo scopo di poter ricostruire fatti oggetto di contestazione
  • di adottare misure tecnologiche e organizzative idonee a mantenere separate le basi di dati, in particolare quelli trattati attraverso i registri, quando la conservazione è necessaria a fini amministrativi
  • di effettuare una valutazione di impatto sulla protezione dei dati (DPIA), come previsto dal GDPR, viste le concrete caratteristiche del sistema tecnologico
  • di adottare un dispositivo che per le sue caratteristiche esteriori (morfologia) non sia lesivo della dignità e comunque non sia percepito come tale dal dipendente.

Il sistema consente infatti  il trattamento di dati personali di lavoratori identificabili. Sebbene i “braccialetti” siano collegati alle zone di spazzamento e non ai singoli dipendenti, attraverso i registri dei turni di lavoro è possibile individuare il dipendente che ha effettuato le rilevazioni dei tag e, quando previsto, la relativa geolocalizzazione mediante il gps.

Il Garante ha peraltro raccomandato, come indicato anche nell’accordo sindacale, l’adozione di un dispositivo che per le sue caratteristiche esteriori non sia lesivo della dignità e comunque non sia percepito come tale dal dipendente, considerato che dovrà essere utilizzato, anche se con diverse funzionalità, dai lavoratori per ogni turno di servizio.

Fonte: Garante Privacy

Potrebbe interessarti:

Dispositivi indossabili per tutelare i pazienti non auto sufficienti
24 Mar 2019

Tik Tok è la nuova app che sta conquistando i giovani.  Nel 2018, TikTok è stata una delle app più scaricate nel mondo. 800 milioni di iscritti, sparsi in 150 nazioni, il 41% dei quali con un’età compresa tra 16 e 24 anni. In Italia – secondo DataMediaHub – è stata scaricata oltre 7 milioni di volte. Gli utenti attivi nel nostro Paese sono 2 milioni e 400 mila. Di questi il 65% sono donne mentre il 35% uomini. In totale, gli utenti aprono l’app in media 6 volte al giorno e per un totale di 34 minuti. Ogni mese, la media di visualizzazioni dei contenuti video presenti su TikTok è di circa 3 miliardi.

Non più muser ma tiktoker

TikTok è conosciuta anche con il nome cinese Douyin in Cina, è un social network cinese lanciato nel settembre 2016 da Zhang Yiming. Il successo della piattaforma per video cinese è dovuto anche all’inglobazione che TikTok ha fatto di Musical.ly.

L’applicazione consente agli utenti di guardare clip musicali, creare brevi clip, della durata che va da un minimo di 15 secondi fino a un massimo di 60 secondi, ai quali si possono aggiungere effetti particolari e diverse animazioni.  Gli utenti per creare i propri video musicali, scelgono la loro canzone preferita da un elenco, e possono registrare un video mentre si è intenti a ballare, cantare o recitare. “Un’esperienza personalizzata appositamente per te basata sui contenuti che guardi, ti piacciono e condi

 

vidi!” La lista musicale di Tik Tok contiene, una vasta gamma di generi musicali (hip-hop, elettronica, rock, dance) e questo garantisce una scelta maggiore. L’app trova e suggerisce all’utente le clip più rilevanti ed interessanti in base alle abitudini dell’utente, di ricerca e alle interazioni con video e creator simili, con video scelti appositamente.

Alcune di queste funzioni erano presenti già in Musical.ly, le novità di Tik Tok sono: i filtri di movimento, l’effetto “specchio deformante” della fotocamera, i filtri Vr-Type che possono essere

sbloccati con il semplice battito delle palpebre e gli effetti Chroma Key e Greenscreen che possono essere usati per creare dei bellissimi sfondi.  Le clip, oltre alla registrazione live, possono essere salvate e poi caricate da quelle salvate nella gallery del profilo. Al momento l’app è disponibile per iOS e Android.

Nelle linee guida possiamo leggere che la missione di Tik Tok è diffondere nel mondo creatività, conoscenza e momenti importanti nella vita quotidiana.

Da notare che, oltre al nome TikTok viene riportata la dicitura “include Musical.ly”, per sottolineare che le due piattaforme sono collegate.

Questione di privacy

Come quasi tutti i social, anche per TikTok bisogna avere almeno 13 anni, “DO NOT use the app if you are under 13”. Sappiamo però che questo limite può essere superato dai ragazzi inserendo una data di nascita falsa. Molti bambini, ad esempio, inseriscono l’età dei genitori.

L’app permette di avere un account pubblico, in questo modo tutti possono vedere ciò che condividono gli utenti e ottenere “Mi Piace”. Il rischio? Che i ragazzi possano essere contattati direttamente sull’app.

Se nella sezione privacy, l’utente sceglie la possibilità di creare un profilo privato, tutti i video possano essere visti solo da chi li ha creati e dai follower accettati. Con un account privato, infatti, si possono approvare o rifiutare le richieste degli utenti e limitare i messaggi in arrivo dei follower.

Il consenso privacy e la sanzione dalla FTC

La Federal Trade Commission ha multato l’applicazione TikTok con una sanzione record da 5,7 milioni di dollari per avere raccolto i dati dei minori di 13 anni senza il consenso dei genitori. E’ la più alta sanzione civile mai comminata dall’ente statunitense che regolamenta il mercato per un caso che riguarda la privacy dei bambini.

Il Children’s Online Privacy Protection Act (COPPA), parla chiaro: per gli utenti che abbiano un’età inferiore ai 13 anni è necessaria la richiesta di consenso ai genitori per il trattamento dei dati.

TikTok era a conoscenza del fatto che molti ragazzini stessero usando l’app per i video di breve durata – d’altronde, il target di riferimento, è proprio il mondo teen – ma non hanno cercato l’autorizzazione parentale prima di raccogliere nomi, indirizzi e-mail e altre informazioni personali. “Questa pena da record dovrebbe essere un promemoria per tutti i servizi online e i siti Web destinati ai bambini – ha detto il presidente della Ftc, Joe Simons – prendiamo molto sul serio l’applicazione del COPPA e non ci sarà tolleranza per le società che ignorano in modo la legge”. Sempre dalla comunicazione dell’agenzia che tutela i consumatori statunitensi si legge che, per la registrazione, venivano richiesti il numero di telefono, nome e cognome, l’immagine di profilo e una breve descrizione.

Gli account degli iscritti erano pubblici di default, il che significava che il profilo di un bambino poteva essere visto da sconosciuti. Se è vero che il sito consentiva agli utenti di modificare le impostazioni predefinite in modo che solo gli autorizzati potessero vederle, rimanevano pubbliche le immagini di profilo e le biografie. Infatti, ci furono segnalazioni in merito ad adulti che cercavano di contattare i bambini tramite l’app Musical.ly che, fino a ottobre del 2016, dava la possibilità di visualizzare vicini alla propria posizione.

Negli Stati Uniti, la legge impone che il minore di 13 anni deve ottenere il consenso dei genitori e presentarlo alla piattaforma se vuole iscriversi ai social.

In Europa, il Regolamento Europeo 2016/679 per la protezione dei dati, stabilisce all’art. 8 che, il “trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni”. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.

In Italia, il D.lgs 101/2018 con il quale l’ordinamento italiano si è allineato al GDPR (settembre 2018) ha stabilito che “il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione”. Al di sotto dei 14 anni, il consenso viene autorizzato dal titolare della responsabilità genitoriale.

Rispetto al passato è stato fatto qualcosa, certamente bisognerà verificare come questo obbligo verrà controllato.

18 Mar 2019

Il Garante con Provvedimento del n. 55 del 7 marzo 2019, chiarisce le modalità di applicazione del Regolamento UE 2016/679 nella sanità.

I chiarimenti si sono resi necessari a seguito dei numerosi quesiti ricevuti dall’autorità sul trattamento dei dati, relativi alla salute in ambito sanitario.

Una delle domande ricorrenti riguarda il consenso.Quando deve essere richiesto

L’art. 9 par. 2 lett. h) del Regolamento prevede:

il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità

e ancora al par. 3

I dati personali ….. possono essere trattati … “se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti”.

Sulla base di quanto previsto dall’art. 9, il medico non dovrà, come in passato richiedere il consenso al paziente. Vediamo nello specifico.

Il professionista sanitario soggetto al segreto professionale, non deve più richiedere il consenso del paziente per trattamenti necessari alla prestazione sanitaria richiesta dall’interessato. Ciò, sia che operi in qualità di libero professionista (presso uno studio medico) sia presso una struttura pubblica o privata. Tale eccezione si applica per i trattamenti necessari per le finalità di cura, cioè essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (considerando 53 del Regolamento).

I trattamenti, non strettamente necessari alla cura, richiedono, invece, il consenso dell’interessato o un altro presupposto di liceità (artt. 6 e 9, par. 2 Regolamento). Tra questi trattamenti rientrano le app mediche, i dati delle farmacie per le tessere fedeltà; campagne promozionali o commerciali (es. promozioni su programmi di screening; contratto di servizi amministrativi, come quelli alberghieri di degenza); trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali.

Richiede il consenso, anche, la refertazione on line, in quanto previsto dalle disposizioni di settore in relazione alle modalità di consegna del referto (Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013).

L’autorità chiarisce, anche i trattamenti effettuati attraverso il Fascicolo Sanitario Elettronico, che possono essere effettuati con l’acquisizione del consenso. Il Garante ricorda che il consenso è richiesto da norme specifiche anteriori al Regolamento UE, fatte salve dall’art. 75 del Codice Privacy. L’eliminazione del consenso potrebbe essere ammissibile alla luce del nuovo quadro normativo, vedremo quindi cosa succederà.

Rimane confermato il consenso per i trattamenti effettuati tramite il Dossier Sanitario, sempre in applicazione delle Linee Guida del 04 giugno 2015. Sulla base dell’art. 2 septies del Codice, sarà il Garante, eventualmente, ad individuare i trattamenti che non necessitano di consenso. Anche qui, speriamo in ulteriori interventi.

Informativa sul trattamento.

Le informative, dovranno essere aggiornate ed integrate, con riferimento alle novità degli artt. 13 e 14 del Regolamento. Secondo il principio di trasparenza, previsto dall’art. 5 par. 1 lett. a) del Regolamento, il Titolare deve informare l’interessato sui principali elementi del trattamento. Che sono appunto elencati nell’art. 13 e nell’art. 14. Informativa che deve essere soprattutto comprensibile per l’interessato, attraverso l’uso di un linguaggio chiaro e semplice.

L’autorità suggerisce di predisporre delle informative in maniera progressiva. Le informazioni relative a particolari attività di trattamento (es. fornitura di presidi sanitari, finalità di ricerca) potrebbero essere resi, in un secondo momento, solo ai pazienti interessati da tali servizi.

Per quanto attiene invece alla conservazione dei dati (“limitazione della conservazione” art. 5 par. 1 lett. e) del Regolamento), il titolare può indicare in assenza di una disposizione normativa che stabilisce i termini, i criteri utilizzati per determinarlo. Ricordiamo ad esempio, il certificato di idoneità sportiva agonistica, deve essere conservato per cinque anni. Le cartelle cliniche, unitamente ai referti, vanno conservati illimitatamente.

Responsabile della Protezione dei Dati (RPD/DPO)

Il Garante chiarisce ulteriormente, chi deve nominare il Responsabile della Protezione dei dati, dopo le numerose richieste di chiarimenti da parte degli operatori del settore sanitario.

Le aziende sanitarie, devono nominare il RPD, in quanto “organismo pubblico”, come da art. 37, par. 1 lett c), attività che consistono sul trattamento, su larga scala, di dati sulla salute.

Lo stesso vale per un ospedale privato, per una casa di cura o una residenza socio assistenziale (RSA).

Il singolo professionista sanitario, che opera in regime di libera professione, non è tenuto a nominare un RPD. Come non sono tenute le farmacie, le parafarmacie, le aziende ortopediche e sanitarie (in questo caso l’obbligo scatta in caso di effettuazione di trattamenti su larga scala).

Registro delle attività di trattamento

Il registro delle attività di trattamento costituisce uno strumento di accountability e di valutazione e gestione del rischio. Il registro contiene le principali informazioni (come individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte dal titolare. Pertanto, i singoli professionisti non sono esentati e dovranno compilare il registro. Tra questi: i medici di medicina generale, i medici pediatri, gli ospedali privati, le case di cura e le RSA, le aziende sanitarie appartenenti al SSN, le farmacie e le parafarmacie, le aziende ortopediche. Il registro andrà conservato per eventuali controlli e non va trasmesso al Garante.

(Fonte Garante Privacy)

13 Dic 2017

Il ransomware è un programma informatico dannoso che infetta un dispositivo (PC, tablet, smartphone, smart TV), bloccando l’accesso ai contenuti (foto, video, file) e chiedendo un riscatto (in inglese, ransom) per «liberarli». La richiesta di pagamento con le relative istruzioni è presentata in una finestra che appare automaticamente sullo schermo del dispositivo infettato. L’utente ha pochi giorni per pagare: poi il blocco diventa definitivo. Ci sono due tipi principali di ransomware: i cryptor (che criptano i file contenuti nel dispositivo rendendoli illeggibili) e i blocker (che bloccano l’accesso al dispositivo infettato).

Pagare il riscatto è solo apparentemente la soluzione più facile. Oltre al danno economico, si corre infatti il rischio di non ricevere i codici di sblocco, o addirittura di finire in liste di «pagatori» potenzialmente soggetti a periodici attacchi ransomware. L’alternativa è quella di rivolgersi a tecnici specializzati capaci di sbloccare il dispositivo. Oppure si può formattare il dispositivo, ma con il rischio di perdere tutti i dati in esso contenuti se non è disponibile un backup. E’ consigliabile sempre segnalare o denunciare l’attacco ransomware alla Polizia postale, anche per aiutare a prevenire ulteriori truffe.

(fonte Garante Privacy)

Infografica Ransomware

1 Nov 2017

Le Autorità di protezione dati europee hanno approvato un parere su un sistema di trasporto intelligente denominato C-ITS, in base al quale dal 2019 le autovetture in circolazione in Europa  potranno “comunicare” tra loro e con altre infrastrutture di trasporto (segnaletica stradale, stazioni di trasmissione/ricezione) scambiandosi informazioni utili alla circolazione.

Il parere, di cui è relatore il Garante italiano, rappresenta un primo, importante passo per tutelare, fin dalla fase di progettazione, i dati personali impiegati da queste nuove applicazioni tecnologiche.

La piattaforma C-ITS è un progetto della Commissione europea  nato con l’obiettivo di migliorare la sicurezza stradale, l’efficienza del traffico, il comfort di guida e di ridurre  le emissioni inquinanti, aiutando l’automobilista a prendere le decisioni più opportune al verificarsi di determinati eventi esterni (ingorghi, incidenti stradali, condizioni metereologiche, lavori in corso).

I Garanti europei, pur riconoscendo la validità del progetto della Commissione, sottolineano come la diffusione su vasta scala di questa nuova tecnologia, che comporterà la raccolta e l’elaborazione di quantità senza precedenti di dati (stile di guida, velocità, direzione, geolocalizzazione), ponga nuove sfide ai diritti fondamentali e alla riservatezza.

Il C-ITS,  grazie alle capacità di trasmissione e ricezione dei veicoli sarà in grado di comunicare a qualsiasi veicolo “ricevente” e alle infrastrutture presenti sul percorso spostamenti e informazioni sugli stili di guida. Una forma di monitoraggio comportamentale permanente e diffuso che potrebbe generare un acuto senso di disagio nelle persone.

Un altro rischio per la privacy potrebbe derivare dalla mancanza di trasparenza. Attraverso i loro veicoli, gli automobilisti sarebbero di fatto dei “trasmettitori” continui. Devono essere quindi pienamente consapevoli delle caratteristiche del trattamento operato dalla piattaforma e dagli altri soggetti  con i quali scambiano dati nell’ambiente C-ITS (altri veicoli, produttori di automobili, gestori di strade, altri soggetti pubblici o privati) e di come questi ultimi elaborano le informazioni che ricevono.

Gli automobilisti – affermano i  Garanti – non possono essere sottoposti ad una sorveglianza continua e devono avere la possibilità di selezionare le opzioni che preferiscono (tempi, frequenza, posizione),  compresa quella di disattivare completamente il sistema.

La scelta di trasmissione peer-to-peer comporta anche un’altra sfida: i messaggi possono essere ricevuti da un numero illimitato di soggetti, le cui intenzioni e capacità tecnologiche non sono e non possono essere conosciute dall’automobilista. Ciò provoca un’asimmetria informativa tra i “mittenti” e i “ricevitori” dei messaggi che deve essere riequilibrata innalzando il livello di controllo sui dati personali. Informazioni sugli stili di guida e sulla localizzazione, infatti, possono essere molto appetibili per produttori di automobili, compagnie di assicurazione, società di marketing.
È necessario, inoltre, secondo le Autorità, indicare chiaramente i periodi di conservazione dei dati elaborati da tutte le parti coinvolte nella piattaforma C-ITS, e e vietare la creazione di un database centralizzato.

Le Autorità, infine, raccomandano, a fondamento di un sistema così complesso, di avviare quanto prima, la procedura per l’adozione di una normativa a livello comunitario.

(Fonte Garante Privacy)

26 Ott 2017

Gli utenti sono poco informati sulla gestione dei loro dati da siti web e app. E’ quanto emerge da un’indagine (denominata “GPEN sweep 2017 User Controls over Personal information”) condotta da ventiquattro Autorità per la protezione dei dati riunite nel Global Privacy Enforcement Network (GPEN), la rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di diversi Paesi, di cui fa parte il Garante italiano.

L’indagine ha preso in esame siti e app in diversi settori – vendita al dettaglio, finanza, banche, viaggi, social network, giochi d’azzardo, istruzione, sanità – ed ha analizzato le policy privacy con l‘obiettivo di verificare se per gli utenti  risulti facile capire quali informazioni vengano raccolte e per quali scopi, e quali siano le modalità per il loro trattamento, utilizzo e condivisione.

Le conclusioni a cui è giunta l’Autorità sono le seguenti:

– le informative privacy sono tendenzialmente generiche, prive di dettagli, e spesso formulate in modo impreciso;

– la maggior parte dei siti e delle app esaminate non informa gli utenti sull’uso che fa dei loro dati;

– le informative in genere non specificano a chi possono essere comunicati i dati personali raccolti;

– molti soggetti non spiegano agli interessati se e come i loro dati sono protetti, né come e dove sono conservati;

– solo in poco più della metà dei casi l’informativa spiega all’utente come esercitare il diritto di accesso ai propri dati personali.

L’indagine ha evidenziato che alcuni soggetti continuano a utilizzare riferimenti normativi obsoleti, e molti fra quelli che forniscono servizi a livello internazionale non sanno quale sia la normativa applicabile nei singoli Paesi. Inoltre, i siti di e-commerce che rilasciano fatture elettroniche spesso non forniscono alcuna informazione sulla propria attività attraverso il sito web.

Anche il settore bancario, secondo l’analisi delle Autorità, non fornisce adeguate informazioni. La situazione appare migliore in Italia: i siti web delle banche italiane, esaminati a campione dal Garante per la protezione dei dati personali, rispetto a quelli di altri Paesi offrono in generale agli utenti informazioni più adeguate e corrette.

(Fonte Garante Privacy)