3 Mar 2021

Videosorveglianza e trattamento dei dati

L’immagine è un data personale? L’immagine di una persona, o comunque la ripresa che permette di identificare una persona, è un dato personale. Se il dato, l’immagine, viene registrata o rilevata in tempo reale, si configura un trattamento dei dati personali, che ricade nell’applicazione del Regolamento UE 678/2016, così come specificato nelle Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video, adottate il 10 luglio 2019.

Quando il Regolamento 2016/679 non si applica?

Non si applica ai trattamenti di dati:

– che non hanno alcun riferimento a una persona, in quanto non identificata e neppure identificabile;

– eseguiti da parte delle autorità competenti ai fini della prevenzione, delle indagini, dell’accertamento o del perseguimento di reati o dell’esecuzione di sanzioni penali, compresa la tutela e la prevenzione di minacce alla sicurezza pubblica (poiché ambito di riserva della Direttiva UE 2016/680);

– da parte di una persona fisica nell’ambito di un’attività puramente personale o domestica, esclusione che nel presente contesto (videosorveglianza) “deve essere interpretata in modo restrittivo”, per cui fuoriescono dall’esclusione, per fare degli esempi, la pubblicazione del video su internet che renda disponibili le immagini ad un numero indefinito di persone, ovvero quelle riprese che coprano, anche parzialmente, uno spazio pubblico.

Quadro normativo di riferimento

In questo contesto è bene ricordare quali sono le normative che si applicano in temo di videosorveglianza:

·  Decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (Codice Privacy), modificato da D.lgs 101/2018

·  Provvedimento del Garante privacy in materia di videosorveglianza – 8 aprile 2010;

·  Regolamento Generale Protezione Dati Personali 679/2016 (GDPR);

Come predisporre il cartello informativo

Quando installiamo un sistema di videosorveglianza sia nel settore pubblico che privato, l’interessato deve essere informato (ex art. 13 del Regolamento 679/2016) prima di accedere all’area sottoposta alla ripresa, attraverso un cartello, che riporta le informazioni più importanti, mentre sarà predisposta un’informativa completa, messa a disposizione degli interessati, per esempio all’interno dei locali o alla reception.

Gli interessati devono sempre essere informati anche in occasione di eventi e spettacoli pubblici (ad esempio, concerti, manifestazioni sportive) e a prescindere dal fatto che chi tratta i dati sia un soggetto pubblico o un soggetto privato.

Le nuove Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video riportano un esempio di cartellonistica, un modello semplificato di informativa.

Generalmente, le informazioni, definite di primo livello (segnale di avvertimento) dovrebbero comunicare i dati più importanti, ad esempio le finalità del trattamento, l’identità del titolare del trattamento e l’esistenza dei diritti dell’interessato, unitamente alle informazioni sugli impatti più consistenti del trattamento. Si può fare riferimento, ad esempio, ai legittimi interessi perseguiti dal titolare, e ai recapiti del responsabile della protezione dei dati – DPO (se nominato). Inoltre, potrebbero essere riportati i tempi di conservazione delle immagini.

L’informativa (cartello) va collocata prima di entrare nella zona sorvegliata. Non è necessario rivelare la precisa ubicazione della telecamera, purché non vi siano dubbi su quali zone sono soggette a sorveglianza e sia chiarito in modo inequivocabile il contesto della sorveglianza. L’interessato deve poter capire quale zona sia coperta da una telecamera in modo da evitare la sorveglianza o adeguare il proprio comportamento, ove necessario.

Il cartello deve riportare anche dove è possibile reperire tutte le informazioni, cioè dove e come trovare l’informativa completa, redatta secondo l’art. 13 del Regolamento. Ad esempio il cartello può riportare un codice QR o indicare un indirizzo web oppure il luogo dove è affissa in bacheca (es. reception).

L’informativa sulla videosorveglianza, cosa redigerla.

La normativa europea in materia di protezione dei dati dispone da tempo che gli interessati debbano essere consapevoli del fatto che è in funzione un sistema di videosorveglianza. A norma del GDPR gli obblighi generali di trasparenza e informazione sono sanciti dall’articolo 12 e seguenti.

Tra le informazioni più importati, l’informativa deve indicare le “finalità e la base giuridica del trattamento”. Si può ricorrere a strumenti di videosorveglianza quando ricorrono due condizioni:

 · Articolo 6, paragrafo1, lettera f) (legittimo interesse)

· Articolo 6, paragrafo1, lettera e) (necessità al fine di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri)

Bisognerà riportare i termini di conservazione delle registrazioni. L’Autorità ritiene coerente ed adeguato un termine di 24 ore con l’esigenza di rilevare eventuali danni e/o incidenti, mentre la conservazione per tempi più prolungati, massimo 7 giorni, necessita di un’adeguata motivazione in relazione a specifiche finalità (ad esempio per intraprendere azioni legali).

Le linee guida specificano che quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione. Se il titolare del trattamento utilizza la videosorveglianza non solo per monitorare i propri locali, ma anche per conservare i dati, deve garantire che la conservazione sia effettivamente necessaria per raggiungere lo scopo specifico. In tal caso, il periodo di conservazione deve essere definito chiaramente e specificamente con riguardo alle singole finalità. È responsabilità del titolare del trattamento definire il periodo di conservazione conformemente ai principi di necessità e proporzionalità e dimostrare la conformità alle disposizioni del GDPR.

In questo “blog” troverete degli articoli che affrontano l’argomento videosorveglianza.

Richiedi informazioni: info@patriziameo.it

17 Feb 2021

1. Il datore di lavoro può chiedere conferma ai propri dipendenti dell’avvenuta vaccinazione?

NO. Il datore di lavoro non può chiedere ai propri dipendenti di fornire informazioni sul proprio stato vaccinale o copia di documenti che comprovino l‘avvenuta vaccinazione anti Covid-19. Ciò non è consentito dalle disposizioni dell’emergenza e dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro.

Il datore di lavoro non può considerare lecito il trattamento dei dati relativi alla vaccinazione sulla base del consenso dei dipendenti, non potendo il consenso costituire in tal caso una valida condizione di liceità in ragione dello squilibrio del rapporto tra titolare e interessato nel contesto lavorativo (considerando 43 del Regolamento).

 2. Il datore di lavoro può chiedere al medico competente i nominativi dei dipendenti vaccinati?

NO. Il medico competente non può comunicare al datore di lavoro i nominativi dei dipendenti vaccinati. Solo il medico competente può infatti trattare i dati sanitari dei lavoratori e tra questi, se del caso, le informazioni relative alla vaccinazione, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica (artt. 25, 39, comma 5, e 41, comma 4, d.lgs. n. 81/2008).

Il datore di lavoro può invece acquisire, in base al quadro normativo vigente, i soli giudizi di idoneità alla mansione specifica e le eventuali prescrizioni e/o limitazioni in essi riportati (es. art. 18 comma 1, lett. c), g) e bb) d.lgs. n. 81/2008).

 3. La vaccinazione anti covid-19 dei dipendenti può essere richiesta come condizione per l’accesso ai luoghi di lavoro e per lo svolgimento di determinate mansioni (ad es. in ambito sanitario)?

Nell’attesa di un intervento del legislatore nazionale che, nel quadro della situazione epidemiologica in atto e sulla base delle evidenze scientifiche, valuti se porre la vaccinazione anti Covid-19 come requisito per lo svolgimento di determinate professioni, attività lavorative e mansioni, allo stato, nei casi di esposizione diretta ad “agenti biologici” durante il lavoro, come nel contesto sanitario che comporta livelli di rischio elevati per i lavoratori e per i pazienti, trovano applicazione le “misure speciali di protezione” previste per taluni ambienti lavorativi (art. 279 nell’ambito del Titolo X del d.lgs. n. 81/2008).

In tale quadro solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario nazionale/locale e lo specifico contesto lavorativo e nel rispetto delle indicazioni fornite dalle autorità sanitarie anche in merito all’efficacia e all’affidabilità medico-scientifica del vaccino, può trattare i dati personali relativi alla vaccinazione dei dipendenti e, se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica.

Il datore di lavoro dovrà invece limitarsi ad attuare le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (art. 279, 41 e 42 del d.lgs. n.81/2008).

(Fonte Garante della Protezione dei Dati)

2 Feb 2021

La figura dell’ammministratore di sistema nella disciplina della privacy crea non qualche problema. Tale figura, non prevista dal Regolamento UE 679/2016, è disciplinata nel nostro ordinamento dal Provvedimento del Garante del 27 novembre 2008Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema“. Provvedimento ad oggi pienamente valido ed applicabile.

Chi è l’amministratore di sistema (AdS)?

L’amministratore di sistema viene definito nel Provvedimento come “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”.

Pertanto, è una figura essenziale per la sicurezza delle banche dati e la corretta gestione delle reti telematiche; è un esperto chiamato a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali; a lui viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un’azienda.

L’amministratore di sistema può essere interno o esterno all’azienda. In genere è interno nelle aziende più strutturate, dove vi è un Responsabile IT o uffico CED. Le piccole aziende, invece, molto spesso si rivolgono a tecnici esterni per la gestione del sistema informatico, che possono svolgere questa funzione occasionalmente, “a chiamata”.

Quali attività svolge?

L’Amministratore di Sistema a seconda delle competenze assegnate, assume diversi ruoli:

  • Amministratore delle basi di dati (Database Administrator), responsabile dell’integrità dei dati stessi, dell’efficienza e delle prestazioni del sistema-database, dei back-up e dei disaster recovery;
  • Amministratore della rete (Network Administrator) che gestisce l’infrastruttura delle reti e cioè gli apparati fisici come macchine, cavi, sistemi wi-fi, hub, switch e router ed effettua le diagnosi dei vari computer o server presentano in rete;
  • Amministratore della sicurezza (Security Administrator);
  • Amministratore web (Web Administrator), che si preoccupa della gestione dei servizi web, in internet e intranet, ovvero servizi che permettono ad utenti interni e/o esterni di accedere ai siti web e ai servizi di rete internet in upload e download e di navigazione in generale.

L’amministratore di sistema si occupa di questioni strettamente tecnico-informatiche, ha un ruolo essenziale per la sicurezza dei sistemi informatiche e delle banche dati, attività che naturalmente rientrano o possono rientrare nelle misure tecniche previste dall’art.32 del GDPR. Per questo, l’amministratore di sistema parteciperà con il Titolare nel definire le misure necessarie a protezione dei dati, assumendo un ruolo importane anche nei casi di data breach.

Come possiamo inquadrare l’amministratore di sisema nell’organigramma privacy?

L’amministratore di sistema se interno, va inserito nell’organigramma aziendale e le sue competenze e ruoli vanno riportati in una nomina.

Mentre, se ci si affida a società esterne di servizi IT, il ruolo di amministratore è esternalizzato, possiamo regolamentare il rapporto con un accordo ai sensi dell’art. 28 del GDPR (Responsabile del trattamento), integrando il documento con la nomina di amministratore di sistema.

La figura dell’amministratore di sistema è una figura importante sul quale il Titolare del trattamento può fare affidamento per garantire che vengano rispettati i principi posti in essere dal Regolamento stesso (accountability).

(Patrizia Meo)

Leggi anche le FAQ del Garante:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1577499#FAQ

25 Gen 2021

Il Garante per la protezione dei dati personali ha ordinato a Roma Capitale il pagamento di una sanzione di 500mila euro per illecito trattamento di dati personali di utenti e dipendenti, effettuato attraverso il sistema di prenotazione degli appuntamenti “TuPassi“.

Il provvedimento di sanzione è stato adottato al termine di una complessa attività istruttoria avviata a seguito di controlli svolti dall’Autorità sulle app utilizzate dalla pubblica amministrazione per l’erogazione dei servizi, condotta anche in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza. Attività che aveva già portato all’adozione di un provvedimento nel marzo 2019 con il quale il Garante aveva dichiarato illeciti i trattamenti effettuati da Roma Capitale tramite “TuPassi e prescritto talune misure correttive.

Criticità riscontrate

Numerose le criticità rilevate sul sistema che consente agli utenti di prenotare servizi di sportello e appuntamenti, anche nel settore sanitario, utilizzando diversi canali: app mobile, sito internet, totem posizionati presso le Pa e i professionisti che erogano le prestazioni.

I trattamenti hanno infatti interessato un’ingente mole di dati personali, anche molto delicati perché relativi a prenotazioni di vari servizi e di prestazioni sanitarie.

  1. Il sistema consentiva di acquisire e memorizzare sui server di Roma Capitale, per un lungo periodo di tempo, numerosi dati degli utenti relativi alle prenotazioni (tipo di prestazione, canale utilizzato, data e ora della prenotazione) e del personale impiegato nella gestione degli appuntamenti.
  2. Il sistema registrava e generava report giornalieri contenenti anche informazioni di dettaglio sull’attività lavorativa (data, tipo di servizio, nominativo dell’addetto allo sportello, tempo di chiamata e tempo di attesa), senza le necessarie garanzie previste dallo Statuto dei lavoratori sul controllo a distanza.
  3. Tutte le operazioni erano effettuate senza che né gli utenti né i dipendenti avessero ricevuto, come richiesto dal Regolamento Ue, un’informativa completa sui trattamenti resi possibili dall’applicativo.
  4. Inoltre, inadeguate le misure tecniche e organizzative implementate dall’Ente.
  5. Mancanza di regolamentazione del rapporto con la società fornitrice del sistema di prenotazione.

Il ruolo del Responsabile della protezione dei dati (DPO)

L’Ente ha fornito gli elementi di valutazione richiesti dall’Ufficio, mediante numerosi invii di documentazione, talvolta non pertinente, con inevitabili riflessi sulla tempestività della definizione del procedimento, anche nella fase di verifica del corretto adempimento al provvedimento n. 81/2019. Ciò, anche per le difficoltà operative riscontrate dalla figura del Responsabile della protezione dei dati – peraltro soggetta ad avvicendamenti nel corso dell’istruttoria-, nel cooperare efficacemente e nel fungere adeguatamente da referente per l’amministrazione nonché da “punto di contatto per l’autorità per le questioni connesse al trattamento” (art. 39, par.1, lett. d) ed e) del Regolamento), per effetto delle non sempre opportune scelte organizzative dell’Ente.

Sanzione alla società fornitrice del sistema “TUPASSI”

L’Autorità ha comminato, inoltre, con separato provvedimento una sanzione di 40mila euro alla società fornitrice del sistema per i trattamenti effettuati in qualità di autonomo titolare, in particolare, con riguardo alla prenotazione di servizi sanitari da parte degli utenti e alla manutenzione del sistema per conto dei clienti, nei casi in cui tale attività comportasse il trattamento di dati personali di utenti e dipendenti.

Avvertimento nei confronti dei titolari che utilizzano il sistema “TuPassi” (art. 58, par. 2, lett. a) del Regolamento).

Tenuto conto che il sistema “TuPassi” è largamente utilizzato da numerosi soggetti pubblici e privati (enti istituzionali, strutture sanitarie, imprese) per la prenotazione di servizi all’utenza si ritiene necessario rivolgere ai medesimi e alla società fornitrice del servizio un avvertimento, ai sensi dell’art. 58, par. 2, lett. a) del Regolamento, precisando che, ove ricorrano le modalità di impiego e le criticità già accertate dal Garante con il provvedimento del 7 marzo 2019, n. 81 nei confronti di Roma Capitale e ora anche sanzionate con il provvedimento del 17 dicembre 2020, i relativi trattamenti di dati possono verosimilmente violare le disposizioni del Regolamento sopra richiamate.

I titolari del trattamento che utilizzano il sistema dovranno pertanto verificare, con riguardo ai trattamenti in corso – tenuto conto delle indicazioni del Garante contenute nel citato provvedimento e avvalendosi del supporto del Responsabile della protezione dei dati ove nominato -, la conformità ai principi applicabili al trattamento dei dati (art. 5 del Regolamento) adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative, impartendo le necessarie istruzioni al fornitore del servizio (cfr. artt. 5, par. 2, 24, 25, 28 e 32 del Regolamento).

(Fonte Garante Privacy)

19 Gen 2021

L’EDPB (European Data Protection Board) ha pubblicato in consultazione le “Guidelines 01/2021 on Examples regarding Data Breach Notification“, che chiariscono tramite esempi di diverse tipologie di data breach, quali sono le procedure di notifica delle violazioni di dati personali alle Autorità competenti ed eventualmente agli interessati.

Lo scopo delle linee guida è di assistere i titolari nel decidere come gestire i data breach e quali fattori considerare durante la valutazione dei rischi.

Il documento contiene 18 casi specifici, relativi a ransomware all’esfiltrazione dei dati, ai rischi umani interni, ai dispositivi/documenti smarriti rubati, invio di dati tramite mail per errore e ingegneria sociale.

(Fonte EDPB)

19 Gen 2021

Dal 1° gennaio 2021 il Regno Unito ha lasciato definitivamente l’Unione europea: si è completato il processo cosiddetto di “Brexit”. Quali sono le conseguenze in termini di protezione dati?

Per quanto riguarda i flussi di dati verso il Regno Unito, che è diventato dunque un Paese terzo, bisogna fare riferimento all’Accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 fra Regno Unito e Unione europea. Tale accordo prevede, tra l’altro, che il Regno Unito continui ad applicare il Regolamento europeo sulla protezione dei dati per un ulteriore periodo di massimo 6 mesi (quindi fino al 30 giugno 2021). Di conseguenza, in questo periodo qualsiasi comunicazione di dati personali verso il Regno Unito potrà avvenire secondo le medesime regole valevoli al 31 dicembre 2020 e non sarà considerata un trasferimento di dati verso un paese terzo.

Nel frattempo la Commissione europea e il Governo UK si sono impegnati, sempre in base all’Accordo, a lavorare su reciproche decisioni di adeguatezza che consentano di proseguire i flussi di dati per agevolare gli scambi e a mantenere alti i livelli di protezione dei dati, senza interruzioni, anche successivamente al periodo transitorio sopra ricordato.

Se così non fosse, si applicheranno tutte le disposizioni del Capo V del GDPR, che richiedono l’esistenza di garanzie adeguate (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta) per trasferire dati dall’Ue (più esattamente dal SEE, lo spazio economico europeo) verso un Paese terzo non adeguato, oppure ammettono alcune deroghe in assenza di garanzie adeguate (consenso esplicito dell’interessato, interesse pubblico di uno Stato membro del SEE, ecc.), ma solo in via residuale e secondo un approccio molto restrittivo.

Nell’ipotesi in cui entro i 6 mesi previsti (cioè entro il 30 giugno) la Decisione di adeguatezza non dovesse essere adottata, il trasferimento dei dati in UK verrebbe gestito alla stregua di quanto avviene per tutti gli altri Stati per i quali una adequacy decision manca.

Per quanto riguarda eventuali contenziosi o reclami transfrontalieri in materia di protezione dei dati con titolari o responsabili del trattamento stabiliti nel Regno Unito, dal 1° gennaio 2021 al Regno Unito in quanto Paese terzo non sarà più applicabile il meccanismo dello “sportello unico” (one stop shop) che disciplina questi contenziosi fra i paesi del SEE.

In sostanza, le imprese con sede nel Regno Unito non potranno più beneficiare della possibilità di rapportarsi con un’unica Autorità “capofila” (ossia, l’Autorità competente per lo stabilimento principale o unico nel SEE) per i vari obblighi previsti dal Regolamento europeo. Per poter continuare a godere dei benefici dello sportello unico, dovrebbero infatti individuare un nuovo stabilimento principale in uno Stato membro del SEE.

In ogni caso, dal 1° gennaio 2021 i titolari e i responsabili del trattamento con sede nel Regno Unito che siano soggetti all’applicazione del GDPR ai sensi dell’articolo 3, paragrafo 2, sono tenuti a designare un “rappresentante” nel SEE a norma dell’articolo 27 sempre del GDPR. Tale rappresentante può essere contattato dalle Autorità di controllo e dalle persone interessate per qualsiasi questione relativa alle attività di trattamento al fine di garantire il rispetto del GDPR.

Resta sempre ferma la possibilità per gli interessati che si trovano all’interno nostro Paese – ed i cui dati sono trattati per l’offerta di beni e servizi o per il monitoraggio del loro comportamento da parte di titolari stabiliti nel Regno Unito – di rivolgersi al Garante per la tutela dei loro diritti.

(Fonte Garante Privacy)

18 Gen 2021

L’Autorità del Land della Bassa Sassonia ha multato l’azienda notebooksbilliger.de per un totale di 10,4 milioni di euro, che aveva monitorato i propri dipendenti tramite videosorveglianza per almeno due anni senza alcuna base giuridica. 

L’azienda aveva sostenuto che lo scopo delle telecamere installate era quello di prevenire e indagare sui reati e di tracciare il flusso di merci nei magazzini.

L’Autorità tedesca, in un comunicato, ha sottolineato che per prevenire i furti vi sono modi meno invasivi e che le aziende non possono ricorrere ad una videosorveglianza indiscriminata negli ambienti di lavoro, ma in presenza di un sospetto devono agire gradualmente con controlli inizialmente meno invasivi, come possono essere quelli effettuati a campione sui bagagli di chi esce dai locali commerciali. 

La videosorveglianza per scoprire i reati è lecita solo se esiste un fondato sospetto nei confronti di determinate persone. L’azienda in questione aveva registrato, non solo i posti di lavoro ma i locali di vendita, i magazzini e le aree di sosta.

Inoltre, le immagini della videosorveglianza non avevano un preciso limite di conservazione temporale, in molti casi le registrazioni venivano salvate per 60 giorni, un tempo notevolmente più lungo del necessario.

I 10,4 milioni di euro rappresentano l’ammenda più elevata finora inflitta dalla Lfd Bassa Sassonia in applicazione del regolamento di base sulla protezione dei dati (DS-OGM). Nel frattempo la società ha legalizzato il sistema di videosorveglianza, come dimostrato dalla Lfd Bassa Sassonia.

(Fonte Federprivacy)

4 Gen 2021
28 Dic 2020

Il Garante per la protezione dei dati personali ha messo a punto una scheda informativa per sensibilizzare gli utenti sui rischi connessi agli usi malevoli di questa nuova tecnologia, sempre più frequenti, anche a causa della diffusione di app e software che rendono possibile realizzare deepfake, anche molto ben elaborati e sofisticati, utilizzando un comune smartphone.

Cosa significa

La parola deepfakeè un neologismo nato dalla fusione dei termini “fake” (falso) e “deep learning”, una particolare tecnologia AI. Le tecniche usate dai deepfake sono simili a quelle delle varie app con cui ci si può divertire a modificare la morfologia del volto, a invecchiarlo, a fargli cambiare sesso, ecc. La materia di partenza sono sempre i veri volti, i veri corpi e le vere voci delle persone, trasformati però in “falsi” digitali.

Le persone che compaiono in un deepfake a loro insaputa non solo subiscono una perdita di controllo sulla loro immagine, ma sono private anche del controllo sulle loro idee e sui loro pensieri, che possono essere travisati in base ai discorsi e ai comportamenti falsi che esprimono nei video.

Rischi

In particolari tipologie di deepfake, dette deepnude, persone ignare possono essere rappresentate nude, in pose discinte, situazioni compromettenti (ad esempio, a letto con presunti amanti) o addirittura in contesti pornografici.

Video deepnude possono essere utilizzati, a totale insaputa dei soggetti rappresentati nelle immagini, anche per alimentare la pratica del sexting (cioè lo scambio e diffusione di immagini di nudo, che a volte coinvolge anche soggetti minori), la pornografia illegale e, purtroppo, anche reati gravissimi come la pedopornografia.

I video deepfake possono essere creati ad hoc per realizzare veri e propri atti di cyberbullismo, che hanno come vittime soprattutto giovani.

Il deepfake può essere utilizzato per attività telematiche illecite, come lo spoofing (il furto di informazioni che avviene attraverso la falsificazione di identità di persone o dispositivo, in modo da ingannare altre persone o dispositivi e ottenere la trasmissione di dati), il phishing e il ransomware.

Come difendersi

Il primo e più efficace strumento di difesa è rappresentato sempre dalla responsabilità e dall’attenzione degli utenti. Ecco allora alcuni suggerimenti:

  • Evitare di diffondere in modo incontrollato immagini personali o dei propri cari. In particolare, se si postano immagini sui social media, è bene ricordare che le stesse potrebbero rimanere online per sempre o che, anche nel caso in cui si decida poi di cancellarle, qualcuno potrebbe già essersene appropriato.
  • Anche se non è semplice, si può imparare a riconoscere un deepfake. Ci sono elementi che aiutano: l’immagine può appare pixellata (cioè un pò“sgranata” o sfocata); gli occhi delle persone possono muoversi a volte in modo innaturale; la bocca può apparire deformata o troppo grande mentre la persona dice alcune cose; la luce e le ombre sul viso possono apparire anormali.
  • Se si ha il dubbio che un video o un audio siano un deepfake realizzato all’insaputa dell’interessato, occorre assolutamente evitare di condividerlo (per non moltiplicare il danno alle persone con la sua diffusione incontrollata). E si può magari decidere di segnalarlo come possibile falso alla piattaforma che lo ospita (ad esempio, un social media).
  • Se si ritiene che il deepfake sia stato utilizzato in modo da compiere un reato o una violazione della privacy, ci si può rivolgere, a seconda dei casi, alle autorità di polizia (ad esempio, alla Polizia postale) o al Garante per la protezione dei dati personali.

(Fonte Garante Privacy)

23 Dic 2020

Il Garante per la protezione dei dati ha lanciato un nuovo servizio online che permette ai titolari del trattamento di adempiere più facilmente ai propri obblighi in materia di data breach. Tramite uno strumento di self-assessment, l‘utente può valutare l’entità del data breach e la necessità o meno di effettuare la notifica al Garante e/o all’interessato. Lo strumento inoltre fornisce un modello di notifica da utilizzare per comunicare la violazione di dati personali all’Autorità.

Il nuovo servizio del Garante è disponibile alla pagina https://servizi.gpdp.it/databreach/s/

(Fonte Garante Privacy)