Blog : tutela della privacy

La prevenzione quale difesa efficace: il caso “WannaCry”.

La prevenzione quale difesa efficace: il caso “WannaCry”.

All’indomani di un attacco hacker1 su larghissima scala e dagli effetti economicamente devastanti, privati, aziende e pubbliche amministrazioni (di seguito P.A.) stanno cercando di correre ai ripari per tentare, quantomeno, di contenere i danni. Il CERT della Pubblica Amministrazione e Windows hanno diffuso, nelle scorse ore, indicazioni per cercare di ridurre i rischi di compromissione conseguenti all’attacco del ransomware2; la domanda che sorge spontanea è: ma quanto sono utili, nel concreto, queste azioni compiute a posteriori?

Non più di due mesi fa, l’Agenzia per l’Italia Digitale ha emanato la circolare n°1/2017 del 17 marzo 2017 recante l’elenco delle misure minime di sicurezza informatica per la Pubblica Amministrazione; esse si incentrano sulla sicurezza hardware e software e sui comportamenti umani. I fondamenti della sicurezza riguardano la difesa dei sistemi informatici da problemi interni (comportamenti dei dipendenti) e da attacchi esterni, nonché, la protezione del patrimonio informativo. Tali misure, individuate dall’Agenzia, sono di diversi livelli: minime, standard e di livello alto e sono calibrate con un approccio tecnico personalizzato sulle singole realtà dei vari uffici della P.A.

La stessa Microsoft ha rilasciato un update che risolve la falla nel suo sistema operativo rendendolo, una volta effettuato l’aggiornamento, non attaccabile dal ransomware, anche se è bene ricordare che quest’ultimo potrebbe cambiare il vettore tramite cui si propaga, dando seguito liberamente alla sua azione.

La sicurezza dei dati contenuti nei nostri dispositivi connessi alla rete diventa una questione “culturale”; tutti i nostri devices sono collegati l’un l’altro e la presenza di un ransomware in uno, a causa della mancata adozione di misure minime di sicurezza, è quasi certo che possa infettare i dispositivi che con quello si connettono. L’adozione delle misure di sicurezza, rappresenta, ad oggi, la più efficace, se non l’unica, arma di prevenzione a disposizione di privati, aziende e P.A., necessariamente assistita da una forte spinta culturale nel rispetto di norme (oggi il Codice della Privacy ed i Provvedimenti del Garante per la protezione dei dati personali, domani – al più tardi entro il 25 ,aggio 2018 – il nuovo Regolamento europeo privacy) e di atti amministrativi delle Autorità preposte.

Per consultare la documentazione utile citata nel testo, cliccate ai link sotto riportati:

1 La campagna ransomware WannaCry ha colpito 150 paesi da venerdì 12 maggio scorso, sfruttando una falla presente nel sistema operativo Windows, ha attaccato i devices collegati alla rete e cifrato tutti i dati in questi contenuti. Unico scampo per i mal capitati è pagare un riscatto in BIT COIN per avere indietro i dati contenuti nel proprio dispositivo. (fonte: www.ansa.it)

2 Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro. (fonte: www.wikipedia.it)

IL RISPETTO DELLA PRIVACY NELLE PRATICHE DI MARKETING: QUALI LE FONDAMENTALI REGOLE

IL RISPETTO DELLA PRIVACY NELLE PRATICHE DI MARKETING: QUALI LE FONDAMENTALI REGOLE

Negli ultimi anni si sono sempre più sviluppate pratiche di telemarketing aggressivo, attuate maggiormente tramite un vero e proprio “assalto” alle utenze telefoniche dei privati; eppure esistono regole in grado di arginare tali prassi.

La norma principale che regola i contatti tra utente ed operatori economici è espressa dall’art. 23 del D.lgs. 196/2003 (di seguito Codice Privacy o Codice), in base al quale il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato.

Il consenso deve essere informato, ovvero, l’interessato deve ricevere un’informativa, attraverso la quale venga messo a conoscenza di tutte le informazioni relative all’esercizio dei propri diritti ed alle modalità di trattamento dei propri dati.

Ottenuto il consenso dell’interessato, il trattamento dovrà essere effettuato rispettando sempre il vincolo della finalità, non potendo andare oltre quanto previsto dallo scopo originario, riducendo al minimo l’utilizzo dei dati; è assurdo pensare che ottenuto il consenso, il titolare sia legittimato a trattare senza restrizioni i dati dell’interessato.

A tal proposito il Garante è intervenuto numerose volte in materia, sia con un provvedimento generale “Consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto” e sia con le “Linee Guida in materia di attività promozionale e contrasto allo spam”, entrambi emanati nel 2013. L’Autorità Garante ha previsto che sia richiesto un consenso specifico per ogni finalità perseguita dal titolare del trattamento, come marketing, profilazione o diffusione.

Le società possono ricercare nuovi clienti ricavando le utenze dagli elenchi telefonici, al fine di chiedere il consenso a ricevere comunicazioni commerciali e solo nel caso in cui l’utenza non risulti iscritta al Registro Pubblico delle Opposizioni1. A partire dal 31 gennaio 2011 gli operatori di telemarketing sono tenuti sia a verificare, prima di contattare le utenze, se queste siano iscritte o meno a suddetto Registro e sia ad informare gli abbonati, nel corso della telefonata, della possibilità di iscriversi al Registro delle Opposizioni.

La violazione del diritto di opposizione, da parte degli operatori di telemarketing, è punita dall’art. 162 comma 2-quater del D.lgs. 196/2003 (di seguito Codice Privacy) con una sanzione amministrativa da 10.000 a 200.000 euro, senza possibilità di pagamento in forma ridotta.

Le decisioni dell’Autorità giurisdizionale in materia hanno spesso punito pesantemente le violazioni alla disciplina di tutela dei dati personali poste in essere dalle società; non da ultimo, la Corte di Cassazione con la sentenza n° 17143/2016 ha confermato la condanna all’operatore al pagamento di una maxi sanzione amministrativa di 300.000 euro.

Quale il precetto violato? La società di telecomunicazioni utilizzava banche dati, fornitele da due società, composte da oltre quattordici milioni di anagrafiche provenienti da elenchi telefonici formati prima dell’agosto 20052; in merito a tali banche dati, il Garante con Provvedimento del 12 marzo 2009 stabiliva che i titolari del trattamento, e solo questi, potevano accedere ad un regime più favorevole per il loro utilizzo, ovvero era sufficiente dare prova di aver fornito agli interessati l’informativa.

L’Autorità Garante per la protezione dei dati personali, dopo aver ricevuto numerose segnalazioni da parte di utenti contattati dall’operatore telefonico, ha eseguito un’ispezione nella sede e nei call center della società, emettendo nell’immediato un provvedimento inibitorio (Provv. 26 giugno 2008).

Le contestazioni mosse alla società di telecomunicazione nel provvedimento del Garante Privacy riguardavano:

  1. L’utilizzo di dati, acquisiti da terzi, provenienti da elenchi telefonici pubblicati antecedentemente al 1° agosto 2005;
  2. L’aver trattato dati acquisiti da altre società senza aver fornito idonea informativa3 e senza aver acquisito il consenso degli interessati4;
  3. L’aver commesso le suddette violazioni in relazione a banche dati di particolari rilevanza e dimensioni5.

La società di telecomunicazioni ha provveduto al pagamento in forma ridotta per tutte le violazioni contestatele, con eccezione dell’ultima in elenco, e per la quale il Garante ha irrogato, in un secondo provvedimento (Provv. 18 ottobre 2012), una sanzione autonoma di 300.000 euro.

Confermato il provvedimento anche dal Tribunale ordinario, l’operatore telefonico è ricorso in Cassazione avverso tale sentenza. Secondo la società risultava illegittimo il cumulo materiale effettuato tra le varie sanzioni, in quanto il bene giuridico sotteso era lo stesso, trovandosi quindi davanti alla violazione del principio giuridico del ne bis in idem.

Di contrario avviso sono stati i giudici della Suprema Corte, i quali hanno chiarito che trattandosi di due diversi beni giuridici (da una parte il dato personale e dall’altro le banche dati) la questione dibattuta riguarda non aspetti quantitativi, bensì qualitativi. Inoltre, l’utilizzo di banche dati di particolare rilevanza non integra un’ipotesi aggravata rispetto alle altre, ma configura un’ipotesi di illecito del tutto autonoma e, quindi, materialmente cumulabile alle altre sanzioni.

Per ciò che concerne la mancata informativa e l’assenza del consenso, i giudici di legittimità hanno ribadito come queste siano condizioni legittimanti il trattamento dei dati; chi acquisisce banche dati da terzi, deve accertarsi che gli interessati abbiano validamente espresso il proprio consenso sia alla trasmissione di dati e sia al trattamento per finalità di marketing.

Nel caso di specie, né le società che hanno formato le banche dati, né lo stesso operatore telefonico sono stati in grado di dar prova di aver fornito l’informativa e di aver ricevuto il consenso alla comunicazione ed al trattamento dei dati.

Appare evidente come le operazioni poste in essere dalla società di telecomunicazione abbiano violato la privacy di milioni di cittadini, invadendo la loro sfera privata e non rispettando le norme basilari sulla protezione dei dati personali.

Non da ultimo, un altro operatore telefonico è stato oggetto di analogo provvedimento del Garante (Provv. 22 giugno 2016), con il quale l’Autorità ha vietato alla società l’ulteriore trattamento per finalità di marketing dei dati di circa 7 milioni di ex clienti, i quali non avevano dato il consenso al trattamento dei propri dati.

E’ pacifico che, l’attuale sistema sanzionatorio non costituisce un concreto strumento di difesa dei diritti dei dati personali, contenuti in banche-dati ed utilizzati per le finalità di cui finora si è argomentato.

Non sarà così con l’operatività del Nuovo Regolamento UE n° 679/2016 che, a partire dal 25 Maggio 2018, prevedrà, tra le altre diverse e significative novità, anche l’inasprimento delle sanzioni per chi violerà la “privacy”, attesa la parametrazione al volume d’affari mondiale del trasgressore, variando dal 2% al 4% del fatturato. Nel caso di violazione dei principi di base del trattamento, comprese le condizioni relative al consenso, è prevista la sanzione pecuniaria fino a 20.000 000 di Euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art.83, comma 5 Reg. UE 679/20166).

1Il Registro Pubblico delle Opposizioni è un servizio a tutela del cittadino, il cui numero è presente negli elenchi telefonici pubblici. Iscrivendosi a tale Registro l’interessato manifesta la sua volontà di non voler più ricevere telefonate per scopi commerciali o di ricerche di mercato, e non potrà più essere contattato dalle società per tali finalità.

2In base al dettato dell’art.44 D.L. 207/08 (convertito nella l. 14/2009) “i dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali (sino al termine di sei mesi successivi alla data di entrata in vigore della legge di conversione del decreto-legge 25 settembre 2009, n. 135) , anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1° agosto 2005.”

3 L’art. 161 del D.lgs. 196/2003 punisce l’omessa o inidonea informativa con una sanzione amministrativa da 6.000 a 36.000 euro.

4 L’art. 162 comma 2-bis del D.lgs. 196/2003 prevede una sanzione da 10.000 a 50.000 euro.

5 L’art. 164-bis punisce i trattamenti in violazione delle norme precedenti effettuati con riferimento a banche dati di particolare rilevanza, con una sanzione amministrativa dai 50.000 ai 300.000 euro.

6 In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;

b) i diritti degli interessati a norma degli articoli da 12 a 22;

c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;

d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;

e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.”

 

Privacy e Social Network: quali le modifiche apportate dal nuovo Regolamento?

Privacy e Social Network: quali le modifiche apportate dal nuovo Regolamento?

L’ARGOMENTO

In un mondo oramai intensamente globalizzato e tecnologico, l’utilizzo di social network è all’ordine del giorno. Verso la fine del 2015, solo nell’Unione Europea, gli utenti con un account Facebook si aggiravano attorno ai 237 milioni1, ciò ad indicare l’ormai imponente diffusione di social network fra la numerosa popolazione europea. Quasi ognuno di noi è in possesso almeno di un social network (Facebook, Twitter e Instagram fra i più popolari) e vi accede con regolarità ogni giorno da dispositivi fissi e mobili in un contesto prettamente personale o domestico (e quindi non per scopi commerciali o professionali).

LE REGOLE

Ora, l’approvazione e la conseguente pubblicazione, il 4 Maggio scorso, del nuovo Regolamento Privacy 2016/679 ha apportato diverse e interessanti novità circa la protezione dei dati personali. Tenendo in considerazione il fatto che il Regolamento va ad abrogare la precedente Direttiva sulla Protezione dei Dati Personali del 1995, periodo in cui i social network erano solo un’idea lontana, è bene valutare quali sono le particolari disposizioni adottate in relazione all’utilizzo quotidiano di social network da parte degli utenti Europei. In base ad una prima e superficiale lettura della normativa, si comprende che il Regolamento non si applica ai trattamenti di dati personali “effettuati da una persona fisica per l’esercizio di un’attività a carattere esclusivamente personale o domestico2 e che fra tali attività potrebbero essere comprese la corrispondenza e gli indirizzari o l’utilizzo di social network e attività online3. Sembrerebbe, dunque, che tale Regolamento non si applichi all’utilizzo di social network e attività online da parte di un qualsiasi utente che vi accede più volte durante la giornata. Una più attenta lettura, invece, evidenzia una specifica disposizione in materia nella quale viene sottolineato che “tuttavia il presente Regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico”4. In sostanza, dunque, la contraddizione risulta essere solo apparente: il Regolamento non è destinato a due ipotetici utenti nell’ambito di una loro attività privata, ma si applica comunque al soggetto terzo (Facebook o qualsiasi piattaforma social) che fornisce i mezzi per comunicare fra loro e che quindi svolge il ruolo di titolare del trattamento.

Dato l’elevato rischio di erronea interpretazione circa la validità del Regolamento, è bene sottolineare come, anche e soprattutto a livello nazionale, vi siano già precise disposizioni in materia. Infatti, l’Articolo 5 comma 3 del Codice della Privacy prevede che il trattamento effettuato da persone fisiche per fini personali è soggetto all’applicazione del Codice stesso nel caso in cui i dati siano destinati ad una comunicazione sistematica (condizione evidentemente applicabile al funzionamento dei social network).

D’altra parte, invece, il Regolamento introduce un’importante novità che va considerata in modo da comprendere cosa comporti la chiusura di un account social e dunque la terminazione di un trattamento di dati personali concessi ad una qualsiasi piattaforma: il diritto alla portabilità dei dati personali. In sostanza, tale diritto prevede che l’interessato riceva i dati personali che lo riguardano forniti al titolare di un certo trattamento e li possa trasmettere, senza alcun impedimento, ad un altro titolare, solamente nel caso in cui il trattamento sia stato effettuato sulla base di un consenso esplicito e con mezzi automatizzati. Il Regolamento precisa anche che, qualora sia tecnicamente fattibile, l’interessato potrebbe anche avere il diritto di ottenere che i dati personali vengano trasmessi direttamente da un titolare di trattamento ad un altro. Nel caso dei social network i dati forniti dall’utente al momento dell’iscrizione necessitano forzatamente di un consenso esplicito e vengono trattati con mezzi automatizzati dal provider del servizio social. È chiaro, dunque, che le condizioni di consenso esplicito e trattamento automatizzato di dati siano applicabili ai social network e che possa essere fatto valere il diritto alla portabilità dei dati. Conseguentemente, in base a tale disposizione, nel momento in cui un qualsiasi utente iscritto ad uno specifico social network decida di cancellare il proprio account, potrà richiedere che i propri dati vengano ricevuti e trasferiti ad un altro titolare e che non vengano conservati ‘a vita’ da un social provider.

Dunque, nell’ottica di una maggiore tutela della privacy degli utenti iscritti, cosa prevede la policy dei vari social network circa i diritti alla portabilità ed alla cancellazione dei dati?

Effettuare un breve excursus specificamente su Facebook, il social network più diffuso a livello europeo e mondiale, è utile per comprendere quale sia la sua specifica policy in materia di privacy e come il diritto Europeo influenzi il suo operato ai fini della tutela dei dati personali forniti da un qualsiasi utente iscritto.

Facebook prevede una precisa policy riguardo il trattamento dei dati5, in cui sono specificate le tipologie di informazioni raccolte, le modalità di utilizzo e condivisione, nonché di gestione ed eliminazione dei dati. Facebook raccoglie varie informazioni sull’utente iscritto, fra cui le attività eseguite e le informazioni fornite alla piattaforma, le reti utilizzate e le connessioni effettuate, i dati riguardo i dispositivi dai quali avviene l’accesso (comprese posizioni geografiche, bluetooth, wifi, indirizzi IP, numero di cellulare ecc.), nonché notizie provenienti da partner terzi, siti web e applicazioni che utilizzano i servizi Facebook. Tali informazioni raccolte vengono utilizzate per fornire e migliorare le proprie prestazioni, proporre all’utente servizi e inserzioni pubblicitarie, nonché per implementare la sicurezza dei servizi offerti.

Le informazioni fornite dall’utente possono essere condivise con le persone abilitate a visualizzare i contenuti postati dall’utente, con applicazioni, con le aziende di Facebook, con clienti e partner terzi e in maniera particolare con fornitori di servizi e altri partner cosi come con aziende specializzate in servizi pubblicitari, di misurazione e analisi. Rispetto a questi ultimi, Facebook comunica alcune informazioni dell’utente in modo che gli vengano offerte pubblicità efficaci in base ai propri gusti personali.

I propri dati personali possono essere eliminati in maniera definitiva dal social network?

Vi sono due opzioni previste da Facebook in relazione alla disattivazione e all’eliminazionedefinitiva di un account6. Nel primo caso l’utente disattiva temporaneamente l’account e le informazioni le quali, nonostante per la maggior parte non siano visibili agli altri utenti ‘amici’, restano comunque ancora trattenute dalla piattaforma. Nel secondo caso, invece, l’utente può richiedere una cancellazione totale dei propri dati tale per cui non potrà più accedere al proprio account.

IL CASO ED IL PROVVEDIMENTO DEL GARANTE

Nonostante quanto previsto dalle disposizioni in materia di diritto alla cancellazione dei propri dati personali finora analizzate, non sono mancate dispute circa la protezione dei dati personali. Uno dei casi più recenti in Italia risale all’ 11 Febbraio scorso, giorno in cui il Garante per la privacy ha emanato un provvedimento nei confronti di Facebook in seguito alla segnalazione da parte di un utente il quale lamentava di aver subito forme di ricatto economico da parte di un soggetto ignoto, il quale, di fronte al rifiuto di corrispondergli la somma ingiustamente richiesta, ha creato un falso profilo dell’utente utilizzando foto e dati personali per interagire con altri contatti mediante messaggi con carattere diffamatorio (alcuni di questi contenenti fotomontaggi pedopornografici). A parte gli illeciti penali interessati dal caso, l’utente ha tentato di ottenere la rimozione delle false foto tramite il servizio offerto dal social network e la loro comunicazione in forma leggibile, il blocco dei dati trattati e l’opposizione ad un ulteriore trattamento. Facebook ha risposto in modo insufficiente all’utente richiedendogli di scaricare una copia del proprio account registrato dal servizio ‘download tool’. Proprio per tale assenza di rispetto per la privacy, il Garante ha emanato un provvedimento a riguardo in cui ha ordinato a Facebook di comunicare in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione a entrambi i profili Facebook aperti a suo nome, di fornire all’interessato informazioni  circa l’origine dei dati, le finalità, le modalità e la logica del trattamento, gli estremi identificativi del titolare e del responsabile, cosi come i soggetti o le categorie di soggetti che possono venirne a conoscenza; di non effettuare, con effetto immediato dalla data di ricezione del provvedimento, alcun ulteriore trattamento dei dati riferiti all’interessato, inseriti nel social network dal falso account.

LA TUTELA DELLA PRIVACY

È comunque doveroso sottolineare la crescente tutela offerta in materia di privacy da parte del diritto europeo; esso prevede che le piattaforme con sede ufficiale in un paese terzo rispettino comunque la legislazione Europea, vista la presenza di titolari del trattamento sul territorio comunitario. Con riferimento ai social, in maniera particolare a Facebook, una sentenza di un tribunale USA ha stabilito che la funzione del riconoscimento facciale proposta dal social network viola la privacy. Nell’ambito dell’Unione Europea, invece, già dal 2012,Facebook si è visto costretto a disabilitare il contenuto facciale in seguito alle riserve della Commissione irlandese per la protezione dei dati personali. Ciò a dimostrare come i social network siano costretti a rapportarsi non solo con il sistema privacy della propria sede legale estera, ma anche e soprattutto con altri sistemi legalmente autonomi in materia (di cui l’Unione Europea risulta essere l’esempio emblematico).

Proprio per tale motivo è necessario che le piattaforme social si adattino alle varie normative Europee promuovendo il rispetto delle stesse cosi come una ferma collaborazione con le istituzioni e le autorità di controllo dei vari Stati membri. D’altra parte, è altresì essenziale che l’Unione Europea si adoperi per una maggiore tutela nei confronti degli utenti socialadottando specifici provvedimenti nei confronti del trattamento di dati personali di milioni di utenti attivi in tutta Europa e facilitando una minore contraddizione normativa in riferimento alla protezione dei dati e alla loro portabilità e/o cancellazione al momento della chiusura di un account.

1 Internet Usage in the European Union, http://www.internetworldstats.com

2 Articolo 2, Regolamento 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

3 ‘Considerando’ 18, Regolamento 2016/679

4 ‘Considerando’ 18, Regolamento 2016/679

5 Facebook, Data Policy: https://www.facebook.com/privacy/explanation

6 Facebook Help Center, “ What’s the difference between deactivating and deleting my account? “