Archivio dell'autore %s Centro Studi PNT

Le Data Protection Authorities danese e polacca irrogano le prime sanzioni post GDPR

L’Autorità per la protezione dei dati personali polacca (UODO) ha sanzionato una società di marketing
digitale che aveva eluso l’obbligo di fornire agli interessati l’informativa sul trattamento dei dati personali
raccolti presso terzi, come previsto dall’art. 14 del GDPR. Circa sei milioni di interessati, i cui dati sono stati
raccolti presso fonti pubbliche, erano completamente ignari del trattamento dei propri dati personali e
conseguentemente della possibilità di esercitare i propri diritti, come garantiti dal Regolamento
(UE)2016/679. Non è stato ritenuto sufficiente dall’UOPO l’elemento addotto dalla società dell’onerosità
della comunicazione e nel determinare la sanzione – il cui importo ammonta a circa euro 220.000 –
l’Autorità ha tenuto conto anche del fatto che il titolare non ha intrapreso alcuna azione per rimuovere la
violazione.
In Danimarca l’Autorità ha irrogato una sanzione nei confronti di una compagnia di taxi che aveva registrato
senza alcuna base legittima numeri di telefono dei propri clienti per circa cinque anni. La società aveva
dichiarato che tali dati venivano anonimizzati dopo due anni dalla registrazione: tale misura di sicurezza si
era rivelata di fatto inesistente, in quanto dalle verifiche effettuate era emerso che venivano cancellati
dopo due anni solo i nomi e cognomi degli interessati, rimanendo le utenze telefoniche conservate
integralmente all’interno dei database. Rimane fermo in ogni caso, come evidenziato dall’autorità danese,
l’uso improprio del termine “anonimizzazione”, il quale comporta l’impossibilità di ricondurre il dato al
soggetto, corrispondenza che nel caso di specie era chiaramente ancora esistente.

https://www.lexology.com/library/detail.aspx?g=74f3573f-41a6-4a2c-8b35-
539d6ef33443&utm_source=lexology+daily+newsfeed&utm_medium=html+email+-+body+-
+general+section&utm_campaign=lexology+subscriber+daily+feed&utm_content=lexology+daily+newsfeed
+2019-04-05&utm_term

L’Autorità britannica propone di vietare i ‘like’ per bambini sui social

Niente più ‘like’ per i bambini e i minorenni su Facebook o Instagram e niente più ‘streak’ su Snapchat. E’ la proposta dell’authority britannica sulla privacy, l’Information Commissioner’s Office, nell’ambito di un giro di vite normativo a tutela degli utenti di social media più giovani sottoposta da oggi alla pubblica discussione nel Regno unito.

L’obiettivo è quello di bloccare la funzione ‘like’, che consente un trasferimento a più vasto raggio dei dati personali ed espone a messaggi pubblicitari specifici. Per farlo, si prevede d’imporre ai giganti del web l’inserimento di default di “meccanismi severi di verifica dell’età” di chi accede ai social e di vietare l’uso con i minorenni delle cosiddette tecniche di ‘nudging’ (pungolo), studiate per tenere agganciata l’utenza

(Fonte: ANSA).

No all’obbligo di pubblicazione dei dati patrimoniali dei dirigenti della P.A. – 21 Febbraio 2019

No all’obbligo di pubblicazione dei dati patrimoniali dei dirigenti della P.A. – 21 Febbraio 2019

La Corte Costituzionale, con sentenza n.20/19, ha dichiarato illegittima la disposizione relativa all’obbligo di pubblicazione dei dati personali concernenti il reddito e la situazione patrimoniale dei dirigenti della P.A. sui relativi siti istituzionali. Tali dati – compensi per gli incarichi svolti, patrimonio desunto dalla dichiarazione dei redditi e da attestazioni sui diritti reali, azioni di società, quote di partecipazione in società – erano oggetto di vari trattamenti, tra cui la diffusione tramite sito web istituzionale, l’indicizzazione, la rintracciabilità e persino il riutilizzo. Il bilanciamento di interessi in questo caso ha visto prevalere il diritto alla riservatezza rispetto che quello alla trasparenza, ritenendosi violato nel caso di specie il principio di proporzionalità, ex art. 3 della Costituzione. Questo in quanto il diritto di accesso da parte del cittadino alle informazioni deve essere garantito in funzione di un controllo sia sul corretto perseguimento delle funzioni istituzionali sia sull’impiego virtuoso delle risorse pubbliche, fermo restando infatti il permanere dell’obbligo di pubblicazione per i compensi di qualsiasi natura connessi all’assunzione della carica nonché per le spese relative ai viaggi di servizio e alle missioni pagate con fondi pubblici. Per quanto concerne invece i dati oggetto di incostituzionalità, questi non sono effettivamente collegati in modo diretto all’espletamento degli incarichi, oltre al fatto che gli interessati non necessitano, come i titolari degli incarichi politici, di un rapporto di fiducia con il popolo che giustifichi la pubblicazione della loro condizione economica e sociale. Senza contare infine che una tale quantità massiva di dati, non adeguatamente riferita al singolo soggetto, funzione e connessa responsabilità, più che assolvere ad esigenze di anticorruzione e trasparenza rischia di determinare una maggiore confusione, oltre che molto spesso una morbosa curiosità. Rimangono comunque soggetti all’obbligo di pubblicazione, in garanzia di un livello minimo di tutela da un punto di vista di trasparenza amministrativa, i dirigenti apicali delle amministrazioni statali previsti dall’articolo 19, commi 3 e 4, del decreto legislativo n. 165 del 2001, in virtù dell’elevatissima importanza e delicatezza dei compiti assegnatigli.

https://www.italiaoggi.it/news/dirigenti-p-a-l-obbligo-di-pubblicare-online-i-dati-su-reddito-e-patrimonio-e-incostituzionale-201902211259286852

Tag: News

Alexa conserva i dati “senza limiti” – 15.2.2019

Sean Parker, ex presidente di Facebook mette in dubbio la privacy dell’assistente Amazon “Alexa”
sostenendo che non vi sia alcun limite” a come Amazon
sta memorizzando e ascoltando conversazioni private, le
registrazioni “potrebbero essere potenzialmente utilizzate
contro gli utenti in tribunale o per altri scopi”.
   Sean Parker è uno dei manager ‘pentiti’ di Facebook.
Fondatore di Napster e primo presidente del social network, dopo
la sua fuoruscita ha accusato la piattaforma di aver sfruttato
le vulnerabilità della psicologia umana, con la “carica di
dopamina provocata dai like”. 
    “Se stai avendo una conversazione davanti ad un dispositivo 
abilitato per Alexa, Amazon non ti garantisce alcuna privacy”,
ha detto Parker sul palco del Summit Mena del Milken Institute.
Amazon ha replicato che “Per impostazione predefinita, i dispositivi Echo sono
progettati per acquisire l’audio solo dopo che sono stati
interpellati – ha detto un portavoce dell’azienda – Nessun audio
è memorizzato o salvato sul dispositivo. I clienti possono anche
rivedere ed eliminare registrazioni vocali”.
(Fonte ANSA)

La psicologia inversa della trasparenza – 4 Febbraio 2019

Sulla base degli studi nel campo della razionalità economica si è sempre pensato che una maggiore trasparenza e un aperto riconoscimento della presenza di conflitti d’interesse portassero ad una migliore consapevolezza e capacità di scelta per il consumatore. Non sembrerebbe questa però la teoria portata avanti da uno dei pilastri della finanza comportamentale, George Lowenstein, che ha evidenziato come da un lato, il consumatore che riceva l’offerta da parte del consulente si senta poi obbligato moralmente verso quest’ultimo ad acquistare il prodotto, dall’altro il consulente, in virtù di una sorta di credito morale, si senta in diritto di accentuare gli aspetti positivi del bene oggetto dell’offerta.

Questo stesso meccanismo psicologico potrebbe essere trasposto nell’ambito della sicurezza digitale, ad esempio per il caso Facebook: Zuckerberg, facendo tesoro delle lezioni di Kanheman e Thaler nel non lontano 2007 sugli studi cognitivi e comportamentali dell’individuo, ha di fatto messo l’utente di fronte alla piena libertà di scegliere quanta privacy ottenere e quali dati condividere, rendendo manifesti gli strumenti di controllo a sua disposizione e rafforzandone di conseguenza l’autonomia decisionale. Ciò però, invece di determinare una maggiore prudenza nella pubblicazione dei propri dati online, ne comporterebbe al contrario un loro aumento, che non è altro che l’obiettivo del social network.

Alessandro Acquisti e lo stesso Lowenstein hanno infatti dimostrato che “i setting di controllo della privacy forniscono agli utenti la corda con cui impiccarsi”, facendo sì che vengano diffuse quantità maggiore di dati, anche di natura particolare, ampliando lo spettro dei destinatari e quindi aumentando il rischio connesso alla loro tutela. Tale dimostrazione si fonda su una sorta di doppio registro della personalità: l’individuo nelle interviste o nei focus group manifesta la convinzione dell’importanza di proteggere i suoi dati personali; da solo, seduto di fronte al pc, lascia che gli stessi vengano acquisiti e utilizzati senza alcun limite.

A conferma di ciò, anche uno studio realizzato dai ricercatori del CIT (Cognitive Insights Team) del Collegio torinese Carlo Alberto per conto della fondazione Cotec e Link Campus, che ha messo in luce le diverse priorità sentite dall’individuo nel contesto sociale ed individuale: nel primo caso le ragioni di tipo simbolico-identitario – ad esempio il furto delle immagini nel web -, nel secondo quelle di tipo materiale-contabile – la pirateria nel settore dell’home banking e il furto di carte di credito. Derivazione psicologica che tra l’altro spiegherebbe il comportamento dei c.d. Haters, che di fronte alla tastiera manifestano atteggiamenti carichi di aggressività, che non gli sono assolutamente propri in contesti di vita reale e di interazione sociale.

Sembrerebbe pertanto che, differentemente dalla credenza collettiva, la trasparenza e il consenso informato non possano ergersi ad unico baluardo della tutela della privacy, ma che sia necessario adottare anche accorgimenti comportamentali, come ad esempio suggerisce Acquisti, un capovolgimento dell’onere della prova: non richiedere ai consumatori la prova che la raccolta dei dati personali sul web sia pericolosa, bensì far dimostrare agli OTT l’impossibilità di lavorare senza questi, oltre ad individuare chi sia il soggetto che si faccia carico degli eventuali costi.

[Fonte: Corriere della Sera]

Via libera alla circolazione dei dati fra UE e Giappone – 24 Gennaio 2019

La Commissione europea ha adottato la decisione di adeguatezza per il trasferimento dei dati fra le due economie, risultato di una procedura avviata già nel settembre 2018 e che integra l’Accordo di partenariato economico, in vigore da febbraio 2019.

L’impegno della potenza giapponese nel campo della tutela dei dati personali è stato esplicitato mediante garanzie aggiuntive che si basano su: un insieme di norme integrative, in particolare per quanto riguarda i dati sensibili, l’esercizio dei diritti individuali e l’eventuale trasferimento dal Giappone ad un Paese terzo; un utilizzo necessario e proporzionato nell’utilizzo dei dati nel settore penale e di sicurezza nazionale; un meccanismo di gestione dei reclami inerente l’accesso delle autorità pubbliche giapponesi ai dati dei cittadini europei, sotto il controllo dell’Autorità giapponese indipendente di protezione dei dati personali.

Tale decisione creerà in questo modo, a detta della Commissaria responsabile per la Giustizia, Věra Jourová,” il più grande spazio al mondo di circolazione sicura dei dati”, da cui si auspica che trarranno beneficio non solo i cittadini degli Stati membri, i cui dati verranno trasferiti in Giappone, ma anche le imprese europee, che avranno accesso ad un mercato di dimensioni esponenziali.

Master Privacy del Centro Studi PNT

Si è conclusa con l’ultima lezione tenuta dal Direttore del Centro Studi anche la III edizione del Master di 80 ore organizzata a Milano.
Un altro gruppo di professionisti molto capaci è quindi pronto per sostenere l’esame di certificazione secondo la Norma UNI 11697:2017.
La prossima edizione del Master è prevista a Roma con inizio ai primi di Marzo. Chi fosse interessato può inviare una mail attraverso il sito www.centrostudipnt.org.

News: Elezioni europee: accordo Parlamento-Consiglio per sanzionare chi viola la protezione dei dati personali – 16 Gennaio 2019

Ci sarebbe un accordo informale tra Parlamento europeo e Consiglio per sanzionare i partiti politici europei che violano deliberatamente la protezione dei dati al fine di manomettere le elezioni europee. Le nuove disposizioni concordate dai negoziatori del Parlamento e del Consiglio in vista delle elezioni di maggio, “sono volte a proteggere il processo elettorale dalle campagne di disinformazione online basate sull’uso improprio dei dati personali degli elettori“. I negoziatori del Parlamento e del Consiglio sembrano aver concordato un progetto di regolamento volto ad introdurre sanzioni finanziarie sui partiti o fondazioni politiche europee che violano deliberatamente le norme sulla protezione dei dati per influenzare o tentare di influenzare l’esito delle elezioni europee.

In pratica, una volta che un’Autorità nazionale di vigilanza decide che si è verificata una simile infrazione e quando l’Autorità per i partiti politici e le fondazioni europee è informata di tale decisione, quest’ultima può attivare la procedura di verifica, che può comportare l’imposizione di una sanzione finanziaria. L’accordo concluso dai negoziatori dovrà essere sostenuto dalla Commissione per gli Affari Costituzionali (il 29 gennaio) e dal Parlamento in seduta plenaria a marzo, nonché dal Consiglio. Il regolamento sarà vincolante e direttamente applicabile in tutti gli Stati membri il giorno della sua pubblicazione nella Gazzetta ufficiale dell’UE.

Apple Health Record, piace l’app che facilita l’accesso ai propri dati sanitari – 14 Gennaio 2019

Secondo gli studi condotti dai ricercatori dell’ospedale universitario di San Diego, in California, quattro pazienti su cinque sono favorevoli all’Apple Health Record, la cartella clinica in formato elettronico scaricabile sull’IPhone, che tra l’altro, in alcuni ospedali è già in fase di sperimentazione.

 Tale app permette infatti agli interessati di accedere facilmente ai propri dati sanitari, di leggere gli esiti degli esami di laboratorio ed in generale di visualizzare tutto ciò che concerne le proprie condizioni di salute.

Lo studio, pubblicato sul “Journal of the American Medical Association”, evidenzia come la soddisfazione per tale servizio raggiunga percentuali piuttosto consistenti, – intorno al 78% – mentre la caratteristica della facilità di accesso ai dati è stata riscontrata dalla pressoché totalità dei pazienti.

Inoltre il 90% degli stessi ha affermato che tale strumento permetterebbe di migliorare vari aspetti inerenti la sfera della tutela della salute, che vanno dalla migliore comprensione delle proprie condizioni cliniche, passando per un dialogo più diretto ed efficace con il medico, per arrivare ad una condivisione di tali informazioni con sanitari e amici.

La Data Breach List del 2018 – 9 Gennaio 2019

Circa un miliardo di dati personali degli utenti del web sarebbe stato violato durante questo anno appena trascorso. E’ impietoso il bilancio di Ermes Cyber Security, startup dell’incubatore I3P del Politecnico di Torino: “Negli ultimi sette anni gli attacchi informatici nel mondo hanno registrato una crescita esponenziale (+240% nel 2017 rispetto al 2011) e nel 2018 il trend non sembra volersi arrestare”, ha affermato il CEO, Hassan Metwalley.

L’azienda stila una classifica dei dieci attacchi più risonanti: in cima alla top ten c’è il data breach della catena Marriott, particolarmente grave anche per il ritardo nella scoperta della violazione (iniziata nel 2014 e venuta alla luce solo nel 2018);

seguono MyFitnessPal, app relativa alle abitudini alimentari, e Quora, social dedicato all’informazione, entrambi vittime di hackeraggio degli indirizzi e-mail e password degli utenti;

al quarto posto MyHeritage, l’azienda che si occupa di individuare l’albero genealogico degli utenti tramite ricorso a strumenti quali il test del DNA, anche se, a detta dell’azienda, i dati particolari non sembrerebbero essere stati oggetto del breach;

il noto caso Cambridge Analytica occupa il quinto posto, la cui attività di analisi dei Big Data ha avuto un ruolo strategico nelle ultime elezioni presidenziali, grazie soprattutto alla condivisione dei dati ottenuti da Facebook, che le ha permesso di ottenere informazioni su un numero enormemente maggiore di utenti; 

Google Plus è stato interessato in questo anno passato da ben due data breach, che hanno determinato tra l’altro una delle ragioni fondamentali della sua chiusura;

nuovamente ricorre Facebook, che colpevole di una vulnerabilità informatica nel codice relativo alla funzionalità “Visualizza come”, si è visto sottrarre i token di accesso degli account, ossia quelle chiavi digitali che permettono all’utente di rimanere collegato senza dover inserire nuovamente la password ogni qualvolta venga riaperta l’applicazione;

all’ottavo posto si colloca Chegg, società americana operante nel settore educativo, che a causa di un applicativo non autorizzato, ha subito una violazione attinente i dati quali nomi utente, indirizzi e-mail, indirizzi di spedizione, password crittografate;

tra le ultime posizioni troviamo infine Ticketfly, piattaforma di acquisto di biglietti per eventi e concerti, e The Sacramento BEE, quotidiano californiano. Quest’ultimo in particolare ha subito il furto in relazione a due database, rispettivamente contenenti 19,4 milioni di utenti e 53,000 utenti, in cui erano presenti, tra gli altri, dati di registrazione degli elettori della California, forniti per motivi giornalistici dal Segretario di Stato (Fonte: AGI).

Da evidenziare che oggetto di data breach sono spesso password crittografate, sintomo che tale strumento di protezione, soprattutto se usato nella modalità simmetrica o comunque nelle sue versioni di base, di fatto risulta essere poco funzionale allo scopo e quindi necessita di implementazione. Ciò alla luce del continuo sviluppo digitale e tecnologico, che impone continuamente trasformazioni e aggiornamenti dei sistemi, tenendo conto che non sono giustificabili tali carenze da parte di soggetti come gli OTP, che per finalità, numero di interessati e risorse a disposizione dovrebbero essere in prima linea sul fronte della data protection.