• informazioni@maragines.com

A tutta videochat

A tutta videochat

L’emergenza sanitaria non è arrivata in modo del tutto improvviso, l’abbiamo sentita sussurrare, poi parlare lontano, poi ha iniziato ad avvicinarsi a falcate ampie seppur silenziose; quando la sua voce ha cominciato a suonare a meno di un metro da noi, molta parte del Paese è rimasta stupita. E ci siamo trovati impreparati su molti aspetti e fronti.

Abbiamo dovuto scegliere di tenerci lontani con i corpi, ma stiamo di consequenza scoprendo momento che è importante supplire alle distanze fisiche con i vari strumenti della tecnologia. Le Videochiamate e le Videochat sono uno strumento estremamente prezioso per potere tenere riunioni rimanendo a distanza ma, al tempo stesso, consentendo di incontrarsi e discutere insieme delle scelte e decisioni da prendere. Insomma, ci si può lavorare e non solo fare comoda occasione di incontro con i nostri familiari.

Per molti di noi è l’occasione buona di adottare finalmente in modo professionale strumenti di cui abbiamo consapevolezza da molti anni (e del resto sono nella nostra quotidianità da decenni) e che sinora erano stati solo facoltativi.

Ma attenzione se questa occasione è buona per impadronirci degli strumenti, e diventare utenti consapevoli della tecnologia, significa che li dobbiamo scegliere nella consapevolezza di quali opportunità ci offrono, di quali sono le cautele che dovremo adottare e quali sono i rischi da evitare; sta a noi, così come per non esporci ai contagi, usare la tecnologia tenendo conto della protezione che dobbiamo a noi stessi e agli altri.11 Agli albori dell’informatica e per molti anni abbiamo chiamato “virus” le minacce informatiche perché queste si propagavano sfruttando anche utenti inconsapevoli (anzi, spesso corretti e generosi) che volevano condividere informazioni e file. Questa metafora è significativa e ci invita appunto a comportamenti attenti e consapevoli, perché gli imprevisti e le conseguenze indesiderate sono un rischio inevitabile dell’agire. Non essendo proponibile l’inazione, dobbiamo perciò acquisire consapevolezza e tenere comportamenti accorti.

Nelle righe che seguono, cercherò di illustrare gli aspetti da tenere in considerazione per scegliere un programma per videochiamate, videoconferenze e videochat e come si devono leggere le informative sul trattamento dei dati collegate all’uso di questi programmi, anche facendo esempi molto concreti di programmi diffusi e consigliati, o sconsigliabili.

Perciò vuoi lavorare con una videochat? E come si fa?

I giorni del distacco sociale rendono necessario lavorare a distanza, usando una videochat.

È una cosa tecnologicamente fattibile, ma i più attenti tra noi possono chiedersi se oltre che fattibile è giuridicamente possibile e come si debba operare per rispettare le norme cogenti in tema di protezione dei dati personali.

Un professionista che si occupa di questo tema non può che fornire una risposta positiva: questa modalità di lavoro è legale, e, rispettate alcune cautele, è anche una buona alternativa in tutti i casi in cui l’incontro di persona non può essere fatto (o è troppo oneroso).

Però chi decide di operare tramite videochat, deve scegliere consapevolmente il programma da usare, e deve anche attrezzarsi per fornire o rendere disponibili istruzioni e informazioni sia per i clienti a cui si chiede di usare questo strumento sia per i colleghi con cui si concorda di usarlo.

In particolare, nel primo caso preso in esame (chat con “cliente”)è opportuno che una informativa22Il lemma indica quelle informazioni che, oggi e in questo caso secondo l’art. 13 del Regolamento UE 2016/679 (di seguito qui chiamato con l’acronimo italo-francofono RGPD), il titolare del trattamento deve fornire agli interessati. È solo il caso di accennare al fatto che gli utenti non professionisti invece non devono rendere una informativa ogni volta che effettuano un trattamento a carattere esclusivamente “domestico” sia disponibile anche per iscritto. Se poi il rapporto è tra un professionista esperto e un consumatore, è doveroso che l’informativa sia disponibile anche per iscritto ma nel caso in cui vi sia trattamento di categorie particolari di dati personali (quelli che un tempo si chiamavano dati sensibili), è d’obbligo anche il passo successivo e cioè la raccolta di uno specifico consenso al trattamento.

Di seguito sono indicati i criteri suggeriti per scegliere il programma giusto, e sono anche indicati alcuni specifici programmi che possono funzionare bene non solo perché tecnicamente adatti, ma anche perché il trattamento dei dati personali avviene in modo abbastanza corretto (almeno per quello che un utente può verificare).

Videochat e videochiamata, come scegliere il programma adatto?

Purtroppo non esiste “IL” programma perfettamente adatto a tutte le situazioni, tale da soddisfare molte variabili, a volte quasi in contraddizione fra loro.33 I due termini, videochat e videochiamata saranno indicati come sinonimi pur esistendo, in teoria, delle sottili distinzioni: nel caso di “videochat” si intende la possibilità di accostare ad una chiamata “video” che avviene in diretta, anche una “conversazione” in diretta e per scritto (chat). Nel secondo caso (videochiamata) invece il lemma è venuto dalle semplici chiamate “in video” che sono rese possibili a partire dall’avvento della rete UMTS, e che poi si sono tramutate quasi sempre sempre in chiamate che avvengono tramite il protocollo VoIP, quindi tramite il web.

Come logica conseguenza, potremo utilizzarne più di uno: differenti situazioni consigliano differenti programmi, bilanciando in modo diverso i criteri di scelta.

I criteri di scelta del programma adatto a mio parere devono basarsi su:

  • sicurezza del trattamento e dei dati utilizzati;
  • facilità di registrazione e sicurezza della procedura di registrazione;
  • tracciabilità dei dati utilizzati;
  • qualità dell’informativa per il trattamento dei dati.

Qui di seguito è proposta per cenni, l’analisi dei primi tre aspetti mentre un paragrafo più approfondito è dedicato al tema dell’informativa proposta.. Infatti, è essenziale porre cura agli aspetti che più facilmente vengono trascurati: quelli della protezione dei dati personali.

A questo proposito, dovendo scegliere un programma da utilizzare, anche i professionisti dell’informatica spesso non prendono purtroppo in considerazione con la dovuta cautela le politiche di protezione dei dati personali; invece chi scrive ritiene che questi criteri debbano e possano essere cruciali per la scelta dello strumento adatto.

Sicurezza

Ovviamente, un programma che viaggia sulla rete e che interconnette più dispositivi deve essere sicuro;anche se sappiamo benissimo che la parola indica un aspetto relativo e non assoluto. Programma sicuro non vuol dire al totale riparo da rischi; non vuol dire cioè che le minacce saranno tutte inefficaci, esattamente come una vettura sicura non è una vettura che non avrà mai incidenti.

Dobbiamo esigere che il programma che scegliamo preveda una cifratura della comunicazione end-to-end, ma dobbiamo anche ricordare che se questo protegge la comunicazione dall’intercettazione, non ci protegge dal rischio che il dispositivo (sorgente o destinatario) sia intercettato!

Quanto al cifratura prescelto dobbiamo controllare che sia considerato sufficientemente robusto e dobbiamo infine verificare che tipo di protezione è assicurata ai metadati che non possono essere cifrati (le identità di chi effettua la videochiamata, la loro localizzazione et cetera).

Procedura di registrazione

Per potere usare un programma dobbiamo registrarci. La procedura di registrazione deve essere semplice e snella, ma al tempo stesso deve essere sicura.

In altre parole, se non possiamo accettare la macchinosità che viene richiesta dai certificatori per rilasciare una firma digitale, al tempo stesso non possiamo tollerare che l’invio delle credenziali avvenga su moduli non in SSL oppure accettare che chi ci offre l’account sia a conoscenza della nostra parola chiave.

Sempre in fase di registrazione, sarebbe anche bene controllare come, nel caso, possiamo recuperare le credenziali e come possiamo, nel tempo, cambiarle.4Anni fa era celebre un bug di Skype che, su Mac Os X, non consentiva né la verifica della credenziale né il suo aggiornamento.

Tracciabilità dei dati

Dobbiamo proteggere poi noi stessi e i nostri contatti dalla pervasività di certi fornitori. In modo amabile e dolce, alcuni fornitori cercano infatti di sapere tutto di noi e tutto dei nostri contatti, vogliono (o pretendono di farlo) condividere la nostra rubrica indirizzi in modo da archiviare informazioni utili.5Controllate il vostro numero di telefono in questo DB: sync.me e chiedetevi come sia stato possibile (se ci siete) finirvi dentro. Non è improbabile che uno dei vostri contatti vi abbia venduto (inconsapevolmente) in cambio di un servizio gratuito. Ma il servizio non era gratuito! Semplicemente, il suo prezzo non era esplicito e non era in denaro!

Se poi il servizio che ci viene offerto è collegato ad altri, ci ritroviamo ad accettare inconsapevolmente che il fornitore compili su di noi un profilo assai dettagliato e questo ci espone alla possibilità che tutte le informazioni (dati personali) che ci riguardano, siano usati non soltanto per rendere più efficienti i servizi richiesti, ma anche per rendere delle offerte più appetibili, sfruttando le nostre debolezze (eventualmente) sino a limitare e condizionare la nostra libertà di scelta.6Bisogna sempre ricordare che siamo nella condizione dialettica con i nostri fornitori che Hegel descrive nel rapporto servo-padrone. Più informazioni e più spazio concediamo al nostro fornitore e più si ridurrà la nostra autonomia contrattuale perché si è ridotto il nostro potere negoziale.

Videochiamata: trattamento dei dati personali, ruoli e attori del trattamento

Dal momento in cui due persone effettuano una videochiamata tramite il web si è in presenza di una operazione di trattamento di dati personali, che coinvolge più attori secondo ruoli differenti.

Abbiamo almeno7Ormai è abbastanza normale che i software consentano videochiamate tra più persone: quello che anni fa era esclusiva di Skype Premium (a pagamento) e iChat per gli utenti Mac, è oggi disponibile tra più e differenti piattaforme, grazie a più di un software. due interessati che sono gli utenti della chiamata, e poi abbiamo una messe di fornitori che, offrendo ciascuno a vario livello il proprio servizio, rendono possibile la videochat. Da un punto di vista della protezione dei dati personali il loro ruolo è quello di responsabili. Con due utenti ci sono almeno un ISP che rende possibile la chiamata (a questo se ne possono aggiungere altri) e certamente vi è il fornitore del programma usato per la videochiamata. Possono essere da un minimo di due responsabili ad un massimo imprecisato e, forse, imprecisabile.8In alcuni casi particolarmente complessi potrebbero essere coinvolti i gestori della rete informatica a cui sono collegati i dispositivi, ma anche i fornitori del sistema operativo o altri operatori nel caso, ad esempio, di connessioni in VPN.

Questi soggetti sono, per moltissimi aspetti, contitolari o titolari autonomi dei trattamenti,9Il titolare del trattamento è l’ente che effettua la raccolta dei dati e sovrintende alle operazioni di trattamento anche curando gli aspetti di sicurezza con l’ausilio di propri addetti e di uno o più responsabili. perché hanno configurato il sistema e hanno la responsabilità di mantenerlo in buon funzionamento. Accanto a questi soggetti c’è il protagonista di queste righe, il professionista che ha scelto di lavorare facendo uso di videochiamate con propri clienti o colleghi.

In questo caso vi è un autonomo trattamento che ciascun utente della chiamata compie, e anche questo, come abbiamo detto sopra, deve essere accompagnato da una informativa e, in alcuni casi, anche da un consenso. Il consenso tuttavia dovrà essere raccolto esclusivamente in quei casi in cui, per il tema trattato nelle videochat, sia specificamente previsto (es.:categorie particolari di dati personali, come già ricordato sopra10Con il RGPD il consenso al trattamento anche per i dati personali a protezione rafforzata, può essere implicitamente dedotto quando necessariamente previsto dall’ambito del trattamento: un medico o uno psicoterapeuta non devono raccogliere un consenso specifico, la loro prestazione infatti non può che comportare il trattamento di dati sanitari e il consenso è quindi già espresso con la manifestazione di volontà connessa alla richiesta di prestazione. Però, dal momento in cui al trattamento tradizionale e svolto de visu si aggiungono degli strumenti telematici che sono accessori, è dovuta una informazione agli interessati ed anche una raccolta del consenso.)

Questo però non esclude che in una videochiamata effettuata per lavoro, uno dei due utenti, debba fornire una informativa al proprio utente, cliente o paziente, come nel caso in cui liberi professionisti raccolgano informazioni dal cliente per svolgere il servizio richiesto.

Le informative: come si legge una informativa

Uno dei quattro criteri che devono guidare nella scelta è quello di verificare la qualità dell’informativa fornita.

La condizione più frequente è che raramente le informative vengono lette.

Purtroppo altrettanto spesso non vengono scritte per essere lette; anche a chi abbia scritto informative semplici e piene di informazioni utili, capita di verificare che le stesse non sono state lette.

Eppure, l’informativa, che è croce e delizia della consulenza nell’ambito della protezione dei dati personali;,è come la stella che brilla (o che dovrebbe brillare) su ogni operazione di trattamento, la spia che dovrebbe farci decidere se procedere alle operazioni di trattamento.

Definisce gli obblighi di trasparenza ed è essa stessa quell’obbligo che tutti conoscono, anche i più disinvolti nei confronti delle norme che hanno scelto di ignorare,. Tutti sanno che “l’informativa” serve, quasi tutti la vogliono, e quasi tutti pretendono da un consulente che ne produca una così, come Harry Houdini farebbe sbucare dal nulla una bianca colomba.

Molti non comprendono mai veramente appieno infatti che l’informativa non è un documento universale, valido per ogni occasione, ma che ogni informativa, quando viene preparata correttamente, viene scritta ad hoc, partendo da… un foglio bianco, sebbene esista un palinsesto definito dall’art. 13 del RGPD, che indica le cose che si devono dire in una informativa.

Nelle righe che seguono, usando proprio il palinsesto fornito dal dettato normativo, sono perciò indicati gli elementi che da controllare e che quindi devono essere contenuti in una informativa che riguardi un programma di videochat.

Il titolare del trattamento

In tutte le informative dovrebbe essere un punto cruciale e fondamentale. Personalmente, ho sempre pensato che debba essere il primo punto da evidenziare,anche quando il vecchio testo dell’art. 13 del d.lg.196/2003 non metteva il titolare del trattamento al primo posto.

Del resto, a ben vedere, quando scarichiamo un programma e ci apprestiamo ad usarlo, il titolare del trattamento è anche il nostro contraente: non è corretto stipulare un contratto e sottoscrivere una licenza per l’uso di un programma informatico senza sapere chi è il nostro licenziante!

Stabilito chi è il titolare è opportuno anche riflettere su come deve essere individuato il titolare ideale e cosa non vogliamo che sia un titolare del trattamento a cui con fiducia consegnamo un trattamento così delicato come una conversazione professionale con un cliente.

Non vogliamo innanzi tutto che sia una società con sede in un Paese dove non esistono tutele per la protezione dei dati personali. Sotto questo punto di vista vanno bene moltissimi Paesi, ma non è augurabile che, ad esempio, il titolare del trattamento abbia sede in Cina.11La Cina oltre a non avere alcuna norma a protezione dei dati personali (come potrebbe mai) ha inserito di recente una clausola nella propria legislazione, che obbliga le società che forniscono servizi informatici, a concedere pieno accesso ai dati trattati al governo, che così potrà agire a tutela degli interessi nazionali.

Chiarezza

Una informativa deve essere chiara! Non deve essere cioè un documento leggibile solo da iniziati, e il linguaggio giuridico, per quanto necessario in alcuni casi, deve essere usato senza ricorrere a perifrasi che creano distanza tra il redattore e il lettore, distanza in effetti voluta nei testi normativi più enfatici (e vetusti).

Terminologia

I termini – come precisato sopra – devono essere però tecnicamente inappuntabili: non è augurabile che si usi l’espressione informazioni personali al posto di dati personali, gli uni non sono gli altri nell’uso tecnico (almeno nella tradizione e nel cogente normativo dell’UE).12I dati personali sono le informazioni riferibili ad un interessato individuabile, mentre le informazioni personali sono quelle informazioni che, seppure riferibili astrattamente ad un interessato, non consentono più alcuna individuazione.

Leggibilità

Non può essere un testo troppo prolisso. Se una informativa è più lunga di una pagina dattiloscritta non c’è stato lo sforzo di scriverla bene, o, peggio, è stata scritta per perdere tempo e nascondere informazioni cruciali o la loro mancanza.

Completezza

L’art. 13 del RGPD (o GPDR se amate la versione anglofona del Regolamento) dice chiaramente cosa si deve dire e cosa non si può non dire (sono, in linea di massima, dodici le cose che devono essere dette).

Non è ammissibile censurare nessuno di questi temi.

Aspetti trattati

Oltre che indicare il titolare (o il suo rappresentante nell’UE) si devono indicare i dati personali trattati, le finalità di trattamento, le modalità, qualora il titolare proceda ad operazioni per legittimo interesse, quale è la base giuridica del trattamento, devono essere indicati eventuali trasferimenti fuori dall’UE (cosa molto frequente nel caso di specie), e per quanto tempo i dati saranno conservati,indicando un termine o la logica comportata dalla conservazione degli stessi.13Ed è tautologicamente inaccettabile dire che i dati saranno conservati sino a quando la loro conservazione è necessaria per il trattamento. Tuttavia una simile indicazione che non dice niente, è adottata abbastanza spesso/di frequente nel caso di fornitori di programmi per video chiamate.

Diritti illustrati

Dovranno poi essere anche indicati i diritti: come esercitare il diritto alla portabilità, come esercitare eventualmente il diritto all’accesso ai propri dati personali e quali diritti, tra il diritto di oblio e di opposizione, possono essere esercitati.

Verificabilità

Quanto scritto nel testo è tutto vero? Il testo è correttamente scritto?

Come possiamo controllarlo? Per quanto dipendiamo largamente dalla fiducia che accordiamo al nostro fornitore possiamo anche fare alcune verifiche (non è un male: qualsiasi contratto o rapporto contrattuale prevede una dose di fiducia accordata all’altro contraente),

Coerenza interna

In una buona informativa tutto dovrebbe tornare: se si parla di un titolare che ha sede fuori dell’UE dovremo trovare anche l’indicazione di quale rappresentante è stato nominato nell’UE, o, nel caso di aziende con sede negli USA, del fatto che la società ha sottoscritto l’accordo Privacy Shield.

Se la finalità di trattamento è solo quella di fornire il servizio, non devono essere raccolti dati non pertinenti che al servizio (è un abuso che cercano di fare in molti perché nascondono di avere fini differenti).

Riferimenti normativi corretti

Il RGPD non deve essere richiamato letteralmente, tuttavia, se i riferimenti normativi vengono fatti, che siano corretti: non si deve citare che l’art. 13 del RGPD per l’informativa. E non si deve citare una norma non cogente per i cittadini dell’UE (è invece molto comune constatare che viene citata la legge sulla protezione dei dati personali vigente in California).

Riscontro su azioni delle Autorità indipendenti

Quanto è buona, presso le Autorità Indipendenti d’Europa, la fama del titolare che ci offre il servizio? Questo è un buon parametro esterno per valutare l’opportunità di affidarsi al servizio.

Whatsapp, ad esempio, è stata sanzionata da più autorità indipendenti e, insieme al suo proprietario (Facebook) ha mostrato una notevole indifferenza verso il rispetto dei diritti degli interessati e dei doveri creati dalle norme.

Specificità

Se sto scegliendo quel programma, per quanto uniformi siano i suoi servizi non è accettabile che l’informativa copra tutti i servizi che potenzialmente la società offre.

Le informative di Twitter (che non offre servizi di Videochat) sono un esempio negativo paradigmatico: così generali da rendere impossibile la comprensione del testo, alla luce del servizio richiesto.

Due programmi consigliabili e due informative decenti

Per ogni programma indicato saranno menzionate note relative agli aspetti che sopra abbiamo preso in esame.

Skype

Da molti anni (maggio 2011) Skype è una società completamente parte del gruppo che la controlla e sviluppa: Microsoft Corporation.

Sicurezza

Skype, sin dagli albori, è stato ritenuto un programma estremamente sicuro, al punto che le procure italiane che, in alcuni a suo tempo hanno effettuato tentativi di intercettazione delle conversazioni, si sono ridotte a dovere installare programmi che intercettassero non la comunicazione ma il dispositivo chiamante (o ricevente).

Ad oggi, il livello di sicurezza viene ritenuto molto elevato, anche se non è mai stato esaminato da soggetti terzi e benché sia fondato sulla sicurezza dei server impiegati.

Skype è inoltre disponibile per molte piattaforme e anche per differenti e molteplici dispositivi, rendendo così facile il suo utilizzo anche per utenti meno attrezzati.

Registrazione

Il procedimento di registrazione, è semplice anche per chi non abbia già un account Skype.

Si basa semplicemente sulla creazione di un nome utente e di una password, passando attraverso una verifica via posta elettronica o numero di telefono.

Dopo alcuni anni, l’aggiornamento della password è consentito e avviene con efficienza.

Come si vede nella schermata di apertura, la registrazione avviene all’interno dei servizi Microsoft, infatti l’indirizzo utilizzato è un sottodominio di live.com che è dominio di proprietà diretta di Microsoft.

Tracciabilità

Anche leggendo l’informativa, il nome utente e i servizi sono totalmente collegati a Microsoft. Se questo può essere un limite, vi è anche un vantaggio: Microsoft non ha interesse a monetizzare le informazioni che raccoglie sui propri clienti.

Informativa

Se dovessimo valutare l’informativa di Microsoft per Skype rispetto ai termini normativi e alla sua ideale capacità di informare gli interessati, il nostro giudizio sarebbe impietoso.14 Questo è l’indirizzo disponibile: [https://privacy.microsoft.com/it-it/privacystatement]{.underline} come si può notare non è un indirizzo specifico per i servizi di Skype.

Tuttavia, dopo anni di esperienza professionale alle spalle, e avendo visto una copiosa galleria di orrori sull’argomento, pur conserviando il rigore per i testi che prodotti personalmente per i clienti, valutiamo/to con molta elasticità quelli di terzi.

Possiamo dire che, almeno, l’informativa indica Microsoft come responsabile (sorvoliando sulla mancanza assoluta di indicazioni del ruolo di Skype che è pure società esistente) e che, quantomeno, cita una norma: il California Consumer Privacy Act.

Certo, i termini usati non sono corretti se letti alla luce del RGPD. Certo non si menziona mai che l’utente europeo sarebbe sottoposto alla norma europea e non a quella imposta dallo stato della California. Ma almeno viene detto che esiste l’accordo Privacy Shield e che Microsoft assicura di attenersi alle regole prescritte (per quanto possibile o consentito dal Foia.

Zoom

Zoom è un programma che nasce in seno alla silicon valley e da parte di un gruppo di informatici proveniente da Cisco Systems.

Il prodotto è da sempre molto concentrato sulla integrazione con altri servizi, altre aziende e sulla sua estrema facilità di uso: è disponibile anche come web application e per molte e differenti piattaforme.

Sicurezza

La sicurezza del programma i è stata messa in dubbio: in alcune occasioni la possibilità di violare gli account è stata infatti accertata15https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15715 e in altri sono emersi problemi gravi di sicurezza da parte di ricercatori indipendenti che hanno reso noto vulnerabilità immediate.16https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

Questo rende desiderabile adoperare massime cautele nell’uso di Zoom:

  • cambiate periodicamente la password;
  • scegliete una password di qualità;
  • evitate l’uso di Zoom quando il dispositivo o la rete che si sta usando non sono sotto il proprio controllo, la propria amministrazione o non risultano sicuri;

Registrazione

La procedura di registrazione avviene in due fasi: un link personalizzato viene generato sulla base della comunicazione di un indirizzo di posta elettronica.

Il link permette di accedere ad una pagina di registrazione per la quale sono anche disponibili una informativa e le condizioni di servizio.

Tracciabilità

Sembra che buona parte della tracciabilità e della interazione con altri servizi sia pienamente nelle mani degli utenti: decidiamo noi se registrarci usando l’account di Google (sconsigliato), o quello di Facebook (molto sconsigliato!).

Decidiamo noi se integrare i servizi con i calendari digitali e via dicendo.

Informativa

È una informativa ben migliore di quella che offre Microsoft.

Certo non pare che chi l’ha scritta sia consapevole di cosa sia un dato personale per gli stati dell’Unione Europea,17Nonostante la nozione di “dato personale” sia (volutamente) omessa dal testo normativo, lo scontro culturale tra gli Stati Uniti e l’UE avviene anche e innanzitutto sulla base di questo primo principio. Negli USA (con le differenze dovute tra uno Stato e l’altro) un dato personale è tale solo quando è direttamente identificativo, si parla altrimenti di informazioni personali. In UE invece il dato è personale sempre quando è ragionevolmente riconducibile ad una persona identificata. Sono dati personali quindi anche gli indirizzi IP. ma tutele specifiche vengono riconosciute per gli utenti Europei. Nell’ambito dei servizi erogati agli utenti per le videochat, questa è una delle informative migliori che è dato di leggere in quest’ambito.

Altri programmi da tenere in considerazione e no

A fronte di questi due servizi, che sono i principali e di grande facilità di utilizzo ve ne sono diversi altri che, in alcuni casi, potrebbero essere ottimi e ben adatti (Face Time, Signal, Jitsi).

In linea di massima, volendone adottare uno, è utile tenere conto che è sempre consigliabile scegliere servizi basati su piattaforme aperte o venduti da società che non hanno un modello imprenditoriale che prevede la monetizzazione delle informazioni raccolte presso gli utenti. Per questo motivo, è sempre sconsigliabile usare i servizi di società che integrano i propri servizi con i propri Social Network o con i propri motori di ricerca.18Sì, si allude chiaramente a Facebook che controlla anche WhatsApp e a Google che offre Google Duo e Google Hangouts.

identità digitale sicurezza persona

Identità digitale, diritto e sicurezza: facciamo chiarezza

Il 24 luglio all’interno della Trasmissione Zapping in onda su Radio 1, l’onorevole Alessandro Morelli, presidente della commissione parlamentare Trasporti, Poste e Telecomunicazioni ha brevemente illustrato la proposta di legge C.2016 con la quale lui e altri due suoi colleghi deputati si propongono di modificare l’art. 22 della Costituzione per inserire in questo articolo anche il principio che la persona (quindi non solo i cittadini italiani) ha diritto anche alla tutela della propria identità digitale.

L’onorevole in questo intervento ha anche detto:

  • che sarebbe utile valorizzare il patrimonio di dati che la pubblica amministrazione tratta;
  • che sarebbe utile consentire il cloud ai rami della pubblica amministrazione creando un unico cloud nazionale sicuro “come Fort Knox”;
  • che è doveroso creare una autorità indipendente slegata dalla politica, ma rappresentata da tutti gli organi costituzionali che abbia lo scopo di proteggere le identità digitali dei cittadini.

Le informazioni disponibili e le dichiarazioni dell’on. Morelli fanno emergere il sospetto che il legislatore stia proponendo soluzioni a problemi ipotetici , senza conoscere forse in modo approfondito i principi fondamentali della protezione dei dati personali e i meccanismi del diritto costituzionale e comunitario.

Nelle righe che seguono cercherò di illustrare brevemente che l’identità digitale da ormai oltre quarant’anni è ritenuta una parte dell’identità personale di un individuo e perché nelle norme, nelle decisioni delle Autorità e dei giudici si parli quindi non di tutela dell’identità digitale, ma di tutela dell’identità personale e dei dati personali che contribuiscono a formarla.

Per questo fornirò cenni su quale sia il quadro normativo di tale materia, quali siano le Autorità che già oggi sono preposte alla tutela dei dati personali, e quali siano gli aspetti fortemente critici di quanto ha dichiarato l’on. Morelli, riferendosi al progetto di legge citato.

Identità digitale, identità personale, protezione dei dati personali

Il concetto di identità digitale sia in informatica che nell’informatica giuridica è legato alla gestione di credenziali di autenticazione in un sistema informatico. Riguarda quindi l’insieme delle operazioni compiute e registrate con quel profilo e il livello di abilitazioni riconosciute da chi amministra il sistema.

Il passaggio importante compiuto dalla legislazione in Europa (Francia e Germania) negli anni ‘70 è stato quello di riferire a persone fisiche queste informazioni, riconoscendone il diritto alla tutela analogamente agli altri diritti personali.

Da allora gli strumenti elettronici si sono raffinati, evoluti e potenziati e la legislazione si è evoluta di conseguenza. In Italia, dopo alcuni infruttuosi tentativi del legislatore abbiamo iniziato a regolare la materia su direttive dell’Unione Europea e gli interpreti del diritto (Corte Costituzionale e Cassazione) hanno riconosciuto che:

il diritto all’identità, alla libertà, e alla dignità, che sono sanciti dalla costituzione (art. 2) comprendono il diritto alla protezione dei propri dati personali;1

il diritto alla tutela della propria identità comprende anche la tutela di quella digitale.2

Le norme codificate

In altre parole il diritto alla tutela della propria identità non è riconosciuto come un diritto secondario ma fondamentale e questo avviene in coerenza con quanto ha deciso l’Unione Europea scrivendo la così detta Carta di Nizza che comprende i diritti fondamentali applicati dagli stati membri, tra cui vi è il diritto alla protezione dei propri dati personali sancito dall’art. 8.

 

Pertanto si può dire che oggi il diritto delle persone alla tutela dei dati personali collegati e riferiti alla propria identità digitale è tutelato:

  • dall’art. 2 della costituzione;3

  • dall’art. 8 della Carta di Nizza (o CDFUE);4

  • dal Regolamento Europeo 2016/679;

  • dal d.lg. 196/2003, come novellato nel 2018, che definisce i reati connessi alla violazione di tali diritti.5

Come si può notare il quadro normativo è ben complesso ed esso prevede anche (nel caso del Regolamento) una interdizione o limitazione del potere legislativo nazionale.

La modifica dell’art. 22 della costituzione risulta quindi non solo non necessaria, ma potenzialmente dannosa perché introdurrebbe differenze nazionali che sarebbe difficile giustificare rispetto al diritto comunitario; si tratterebbe inoltre di una sovrapposizione di norme che renderebbe più complesso il lavoro interpretativo degli operatori del diritto.

Le Autorità Indipendenti

Tali norme hanno istituito, come noto, una autorità indipendente6

in ogni Paese dell’Unione Europea7.

In Italia si tratta dell’Autorità Garante dei Dati Personali, che opera tramite un proprio collegio e di cui si attende per altro il rinnovo da parte del Parlamento. L’Autorità Garante ha competenza su tutte le questioni che riguardano la protezione dei dati personali, in particolare:

  • ha emesso pareri sugli schemi regolamentari e tecnici per l’abilitazione della SPID, il servizio pubblico di identità digitale;
  • ha fornito prescrizioni e indicazioni all’Agenzia delle Entrate per la tutela dei dati dei contribuenti;
  • impone il rispetto di misure tecniche per impedire che i dati siano trattati in modo poco sicuro.

Il Codice per l’Amministrazione digitale e AGid

Per quanto riguarda il lento processo di digitalizzazione della pubblica amministrazione, esso è oggetto di una norma molte volte modificata, il Codice per l’Amministrazione Digitale, (d.lg. 82/2005), che ha anche istituito l’Agenzia per l’Italia digitale con il compito di fornire regole tecniche alla pubblica amministrazione per l’adozione di servizi digitali. L’Agenzia, inoltre, seleziona e certifica fornitori di servizi ed opera in stretta coordinazione con l’Autorità Garante per la protezione dei dati personali, fornendo tra l’altro indicazioni ai rami della pubblica amministrazione che si vogliano dotare di servizi in cloud.

Nuovamente non si comprende quali siano i meriti della proposta legislativa illustrata dall’onorevole Morelli, dal momento che abbiamo già una autorità indipendente con competenze relative alla tutela della identità digitale, che è un aspetto specifico della più generale tutela dei dati personali.

Perplessità su alcune dichiarazioni

A latere destano qualche perplessità le dichiarazioni e le considerazioni dell’onorevole Morelli quando

  • ipotizza che la p.a. possa “valorizzare” i dati dei propri cittadini.. Da sempre infatti si è invece imposto alla p.a. il trattamento di dati personali solo ed unicamente per fini istituzionali e con divieti espliciti di perseguire fini di lucro;
  • ipotizza la costruzione di un « data center » centralizzato. sicuro “come Fort Knox”. In realtà, la concentrazione dei dati, da molti anni ormai, è ritenuta un fattore di moltiplicazione del rischio e non una diminuzione dello stesso: i sistemi distribuiti sono infatti più sicuri e più efficienti;
  • afferma che questo disegno di legge renderà possibile il cloud per la p.a. In questo caso infatti i servizi in cloud sono già possibili e sono già usati da alcuni rami della p.a. Come già si è detto, per la supervisione di tali servizi e per le relative regole tecniche è competente l’Agenzia per l’Italia Digitale.

La complessità degli ordinamenti moderni impone al legislatore estrema prudenza e grande attenzione: prima di abbozzare progetti di legge che rischiano di essere incauti occorre documentarsi con cura, dato che le norme non necessarie finiscono sempre con l’essere dannose.

Sembra insomma che una parte dei Parlamentari nazionali sia riuscita a non apprendere le lezioni e indicazioni che gli esperti del settore hanno illustrato per mesi e mesi nell’anno passato, tra cui ricordo vivamente quella del prof. Pizzetti che a gran voce ricordava come, essendo il RGPD una norma di rango comunitario non sarebbero più state possibili quelle attività incoerenti del legislatore italiano viste in passato, di modifiche sistematiche del Codice Privacy.


1 Si è osservato che l’art. 2 tutelando la personalità degli individui tutela tutti gli aspetti che la proteggono e che consentono la sua realizzazione il suo esercizio, dapprima si possono controllare le opere di Piero Calamandrei Crisafulli e Nania, ma anche la Corte di Cassazione con la sentenza 990/1963 e la Corte Costituzionale con la sentenza 2129 del 1975. Il Giudice Costituzionale è poi tornato sul punto anche estendendo la tutela con la sentenza n. 271/2005. In diverse occasioni si è inoltre citato anche l’art. 3 che tutela la dignità e l’uguaglianza sostanziale dei cittadini.
2 Questo principio è integralmente accolto al Regolamento 2016/679, si citi in ordine di apparizione il considerando 57 della norma.
3 Dal momento che l’articolo 2 tutela la personalità degli individui e che questa non può essere protetta se non proteggendo quella che un tempo era la “riservatezza” e che oggi è anche **un vero diritto dispositivo degli uomini che possono scegliere come regolarlo e come concedere o rendere pubblico i dati personali che li riguardano.
4 L’articolo recita: “Protezione dei dati di carattere personale 1.Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. 2.Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica. 3.Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.
5 Il d.lg. 101/2018 ha provveduto, anche se in ritardo, a modificare il Codice Privacy che è così divenuto la norma di adeguamento dell’ordinamento nazionale all’entrata in vigore del Regolamento Europeo promulgato nel 2016. Il nuovo Codice Privacy è così privato di tutte le norme che imponevano definizioni e prescrizioni generali rimanendo efficace per i settori riservati agli stati nazionali, e per le figure di reati relative al trattamento dei dati, anche queste infatti non sono materia di competenza del diritto comunitario.
6 Che è già richiamata dall’art. 8 sopra citato.
7 E seguendo le scelte di Francia e Germania che hanno istituito tali autorità già con le prime leggi, molti Paesi extra Europei hanno adottato modelli analoghi.
modulo dati dpo rpd

On line il modulo per comunicare i dati del DPO-RPD

È finalmente online il Modulo per la comunicazione dei dati di contatto del DPO/RPD (Data Protection Officer – Responsabile Protezione Dati) all’Autorità Garante della Privacy in Italia.

Lo avevamo aspettato per mesi e negli ultimi giorni ho più volte detto ai miei clienti che, non essendoci ancora, dovevamo pazientare un poco, ma ora è qui, lo possiamo iniziare ad usare o possiamo prepararci di corsa per iniziare ad usarlo.

Cosa serve per compilarlo

Ci sono le istruzioni ma in effetti è una operazione molto semplice.
Per compilarlo servono tutte le informazioni del titolare dei trattamenti, la sua esatta denominazione, il codice fiscale (se ne ha uno), la sede legale, un numero di telefono (è obbligatorio), un indirizzo fisico e un indirizzo PEC.

Servono anche tutte le informazioni del Responsabile cognome, il suo nome (come fossimo al servizio militare) il suo numero di telefono/cellulare un suo indirizzo di posta elettronica, e un indirizzo PEC.

Ma servono anche informazioni relative al soggetto che fa la comunicazione e la compila (e la dovrà firmare), cognome e nome (sempre come fossimo al servizio militare), e un indirizzo di posta elettronica. Questa persona dovrà anche firmare digitalmente un documento (quindi deve essere dotata, personalmente, di firma digitale).

Serve anche sapere dove e come si è resa nota l’esistenza del DPO/RPD, usando i “dati di contatto” pubblicati sul sito Internet o indicando dove sono stati indicati.

Per i gruppi imprenditoriali

Bisognerà valutare se il gruppo ha pensato e valutato di designare un RPD/DPO di gruppo, in quel caso bisognerà indicare gli estremi della società controllante (se non è il soggetto per cui si sta facendo la comunicazione) anche indicando gli estremi della comunicazione (se in Italia) o verso quale Autorità di controllo straniera è stata fatta la comunicazione.

Chi può compilare il modulo

Il modulo dati non può compilarlo, apparentemente, per sé, il DPO – RPD. Anche se questa è una mera deduzione personale che potrebbe essere sbagliata, poichè niente vieta che il Responsabile per la Protezione Dati inserisca due volte il proprio nome: come persona che effettua la comunicazione su delega del titolare dei trattamenti.

Tuttavia le istruzioni e la modulistica non accennano nemmeno incidentalmente a questa ipotesi; questo ha quindi provocato la deduzione che il soggetto che effettua la dichiarazione non possa essere il DPO/RPD delegato dal titolare, ma, hai visto mai…

Come si fa

Semplice: si compila online il modulo in ogni parte con i dati necessari dell’RPD, si compila anche il “Codice di sicurezza” e si “Invia“, ricevendo a questo punto un messaggio di posta elettronica con un file allegato che dovrà essere firmato (e l’Autorità raccomanda di firmarlo persino senza aprirlo, già…).

Il file firmato con estensione .p7m deve a questo punto essere inviato e il soggetto che effettua la comunicazione riceverà un ID provvisorio di comunicazione.

L’Autorità effettuerà i controlli formali, verificherà tra l’altro che il file inviato e il file firmato siano identici (per questo raccomanda persino di non aprirlo).

Se l’Autorità verificherà che formalmente non ci sono vizi, accoglierà la comunicazione e di conseguenza:

  • scriverà al “soggetto che ha effettuato la comunicazione” dandogli un numero di protocollo che diverrà importantissimo;
  • il Titolare del trattamento (come indicato nella comunicazione), all’indirizzo PEC riceverà un documento di sintesi di tutte le informazioni inviate;
  • il soggetto indicato quale RPD/DPO riceverà all’indirizzo PEC un documento con tutte le informazioni inserite e il numero di protocollo già menzionato.

Il numero di protocollo sarà quello che tutti dovranno indicare per le future comunicazioni con l’Autorità.

Osservazioni sul modulo: tutto a posto così o no?

Finalmente è arrivata! È qui, la possiamo usare e la possiamo segnalare, è stato importante ed è certamente una procedura fatta in modo abbastanza snello. Tuttavia alcune cose fanno storcere un poco il naso, non tanto il fatto che nel modulo si indichi prima il cognome e solo dopo il nome (è poco elegante, ma è una quisquilia), penso invece l’uso della firma digitale con riferimento ad uno standard normativo nazionale, e all’uso della PEC come strumento di comunicazione.

Se da un lato è comprensibile la scelta di adottare lo strumento della firma digitale che velocizza le operazioni e che è uno strumento riconosciuto in ambito europeo, invece non è apprezzabile la scelta di rendere obbligatorio l’uso di una PEC.

La PEC è uno strumento limitato, non riconosciuto fuori dall’Italia e quindi è – secondo me – sconsigliabile adottarlo in un contesto internazionale, e, almeno, comunitario. Personalmente ero sempre riuscito a non adottarlo ma a questo punto obtorto collo saremo costretti a farne uso.

Da ultimo, invece che mettere un link dell’AgID che non indica l’elenco dei certificatori, potevano direttamente mettere quello che li indica in ordine alfabetico: Prestatori Attivi.

Da ultimo, mi sono messo a rileggere l’informativa per questa comunicazione adottata dal Garante, e ironicamente mi chiedo se non si poteva fare uno sforzo maggiore per adottare un linguaggio chiaro, adottando l’indicazione della Autorità stessa che raccomandava termini semplici usando, persino, l’italiano colloquiale.

Much ado about nothing

Sono state sollevate alcune voci, un poco di confusione e qualche discussione, verso la fine della scorsa settimana a partire dal 19 aprile. Tutto è nato attorno al commento ad un provvedimento dell’Autorità Garante del 22 febbraio scorso, reso noto di recente sul sito dell’Autorità.

Su Agenzia Digitale, Gabriele Faggioli ha scritto che l’Autorità Garante ha rimandato di sei mesi controlli e sanzioni relativamente al Regolamento che entrerà pienamente in vigore dal 25 maggio 2018.

A seguito di questo articolo l’Autorità Garante ha scritto un comunicato nel quale ha dichiarato non veritiera la notizia riportata da Agenzia Digitale e Luigi Garofalo, su Key4biz, ha ripreso il comunicato bollando la notizia come una fake news.

Il giorno stesso l’autore è tornato sul tema precisando perché la notizia fornita era non scorretta (o almeno non così scorretta). 

Trovo esagerato e impreciso sostenere che l’articolo di Gabriele Faggioli sia una notizia falsa, e trovo persino esagerata la smentita dell’Autorità Garante al punto da rendere sibillino il provvedimento citato che rimane, al momento, comunque sospeso nella sua efficacia. 

Il cuore della querelle è quindi il provvedimento del 22 febbraio, che è a tutti gli effetti un’introduzione molto cauta e prudente, al Regolamento Europeo prossimo e venturo. In esso vengono semplicemente introdotti e anticipati i temi di cui inevitabilmente tratteranno nei prossimi mesi (e anni) l’attività delle Autorità di controllo Europee. 

Si parla di:

  • monitoraggio e vigilanza sul Regolamento e di come l’Autorità intende attuarle;
  • di interoperabilità dei sistemi e dei formati in cui sono incorporati i dati per la “portabilità”
  • e del trattamento per finalità di legittimo interesse dei titolari o di terzi.

Rispetto alle Linee Guida del WP29, nessuna significativa novità da segnalare. Rispetto agli obblighi di sorveglianza già individuati dal Regolamento nessun principio originale da registrare e sul legittimo interesse come analizzato dall’Autorità, solo timidi accenni a possibili interpretazioni future. 

In ogni caso le novità sono effettivamente sospese, tutto il provvedimento è sospeso: nero su bianco questo è quanto riporta il provvedimento (le annotazioni in rosso sono mie):

Quindi:

  • certo, le novità sul monitoraggio sono sospese, ma questo non comporta un blocco delle attività di monitoraggio (che l’Autorità potrà comunque espletare);
  • certo, le sanzioni possono essere irrogate anche a prescindere dall’attività di controllo (quindi giusta la precisazione del Garante);
  • MA comunque, il provvedimento e le sue novità sono congelate.

In conclusione è sempre più urgente che venga esercitata la delega da parte del Governo Italiano. Ma, a questo punto entriamo nel delicato gioco di equilibri politici e ogni considerazione tecnica diventa inutile. 

gdpr

GDPR: un regolamento efficace per la protezione dati personali?

Il 25 maggio entra in vigore il regolamento per la protezione dei dati personali (ormai noto con l’acronimo GDPR), da quando lo abbiamo letto, noi professionisti del settore, abbiamo capito che pur essendo il Regolamento pienamente (e automaticamente) efficace, c’erano alcuni interventi per cui l’Autorità di Controllo (il Garante) non poteva bastare, perché serviva un’azione del legislatore (che, ovviamente non può essere scavalcato).

Il legislatore nazionale è chiamato in causa innanzitutto dall’art. 84 del Regolamento:

Articolo 84 – Sanzioni

1. Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83. Tali sanzioni devono essere effettive, proporzionate e dissuasive.

2. 
Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica.

In altre parole, viene imposto agli stati dell’UE di adottare delle sanzioni penali per le violazioni più gravi del GDPR, esattamente come già prevede il d.lg. 196/2003. Tuttavia, la traslazione dal Codice Privacy al Regolamento non può essere una operazione automatica, infatti queste sono le figure di reati previste ad oggi in tema:

  • art. 167 – Trattamento illecito dei dati;
  • art. 168 – Falsità nelle dichiarazioni e notificazioni al Garante;
  • art. 169 – Misure di sicurezza;
  • art. 170 – Inosservanza di provvedimenti del Garante;
  • Violazioni delle norme sul controllo dei lavoratori.

Di queste norme, nessuna viene facilmente trasportata da un regime ad un altro perché, se non altro, cambiano tutti i riferimenti normativi (e quindi bisogna fare un intervento redazionale non automatico), ma in più alcune necessitano di un vero e proprio adattamento.

In concreto (ma in maniera non esaustiva) questo vuol dire che:

Trattamento illecito

Il trattamento illecito prevede una condotta, che, in linea generale, è in effetti facilmente trasportata salvo la necessità di variare alcuni aspetti e riflettere al fatto che le norme nel 2003 la cui violazione era ritenuta così grave da fare scattare l’illecito penale, nel 2018 non hanno più la gravità invocata, nell’ambito della moderna società dell’informazione.

Falsità al Garante

Decisamente è necessario un intervento di adattamento, perché la notificazione non è più prevista e perché il Garante è oggi una delle Autorità di controllo competenti ad agire per verifiche e controlli.

Misure di sicurezza

L’illecito penale riguardante le misure di sicurezza dovrà essere completamente variato, infatti su questo punto il GDPR ha eliminato le “Misure minime di sicurezza” sostituendo la doverosità delle stesse, non già dipendenti da un Allegato Tecnico (oggi l’Allegato B), ma da una Analisi del rischio elaborata dal titolare dei trattamenti.

Se prima era quindi semplice collegare l’esistenza di un illecito penale al mancato rispetto di una norma cogente, oggi è difficile valutare che le misure di sicurezza sono così inefficaci da fare scattare una condotta penalmente rilevante, visto che l’efficacia o meno dipende da un documento elaborato autonomamente dal titolare.

Inosservanza di provvedimenti del Garante

Ancora una volta l’illecito non è penalmente adattabile per via automatica, perché la struttura delle Autorità di controllo e l’emanazione di norme specifiche è profondamente diversa nel passaggio verso il Regolamento.

Violazioni delle norme sui lavoratori

È questa la norma, forse, più facilmente trasportabile nel nuovo regime perché dipende dallo Statuto del Lavoratori (non modificato dal Regolamento UE) e perché ancora oggi è vietato (e penalmente rilevante) controllare l’attività dei lavoratori a distanza e fare indagini sulle loro opinioni politiche.

uber

Uber, violati i dati utenti: guai in vista?

Ieri è stata diffusa una nota del presidente dell’Autorità Garante per la protezione dei dati personali:

“Non possiamo che esprimere forte preoccupazione per la violazione subita da Uber, tardivamente denunciata dalla società americana. Abbiamo aperto un’istruttoria e stiamo raccogliendo tutti gli elementi utili per valutare la portata del data breach e le azioni da intraprendere a tutela degli eventuali cittadini italiani coinvolti.

Quello che certo colpisce,  in una multinazionale digitale come Uber, è l’evidente insufficienza di  adeguate misure di sicurezza a protezione dei dati e quello che sconcerta è la scarsa trasparenza nei confronti degli utenti sulla quale indagheremo”.

La notizia riguarda la violazione dei dati personali che Uber avrebbe confermato di avere subito l’anno scorso, riguardante i dati personali di 50 milioni di clienti e 7 milioni di autisti. È stata data da Bloomberg dal Wall Street Journal ed è così rimbalzata anche in Italia dove tra le tante notizie diffuse (il Post ad esempio) si segnala per completezza e intelligenza delle domande, ovviamente, quello pubblicato su La Stampa da Carola Frediani che oltre che riportare la notizia esprime qualche dubbio e perplessità e fa delle domande che, al momento, rimangono senza risposta. 

È importante ricordare che, a partire dal 25 maggio 2018, entrando in vigore il Regolamento UE, troverà anche piena applicazione l’art. 33 del Regolamento che impone la comunicazione all’Autorità di controllo competente, a meno che, la violazione sia improbabile, “che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche” (dal comma 1, dell’art. 33). 

In questo caso non sappiamo con precisione quali dati siano stati oggetto della violazione, ma pare ci siano nomi, cognomi, e-mail e numeri di telefono, ovviamente associati al dato che sono tutti clienti o autisti di Uber. In questi casi è quindi possibile ipotizzare degli attacchi mirati ed è quindi difficile fare valere l’esenzione citata.

La mappa della CNIL sulla privacy

La CNIL (Commission Nationale de l’Informatique et Libertés) ha pubblicato una mappa mondiale dove ciascun Paese è classificato sulla base delle norme esistenti sulla protezione dei dati personali, queste le opzioni possibili:

  • Paese membro dell’UE o appartenente allo Spazio Economico Europeo (EEE);
  • (Paese) Riconosciuto adeguato dall’UE;
  • (Con) Autorità Indipendente e leggi;
  • (Con) legislazione;
  • Nessuna legge (sul tema).

Cliccando su ogni Paese si possono avere i dettagli specifici e link per l’accesso alle Autorità di controllo eventualmente presenti. È anche apprezzabile che la mappa sia stata compilata usando OpenStreetMap.

plusprivacy vendere dati personali

PlusPrivacy: guadagnare coi propri dati conviene?

Conoscete già PlusPrivacy? Tra minacce, attacchi, virus e vulnerabilità varie, cresce in modo spesso doloroso la consapevolezza che i propri dati personali (per chi volesse sul Glossario esiste la relativa definizione) siano un patrimonio da proteggere.

Libero Tecnologia ci segnala con grande enfasi l’esistenza di un progetto chiamato, appunto, Plus Privacy, che ha lo scopo (addirittura!) di consentirci di guadagnare vendendo i nostri dati personali:

Come è noto, le informazioni raccolte dai vari siti sono utilizzate per ottenere profitto. La funzione cerca di dare agli utenti un tool con cui provare a monetizzare i dati personali rilasciati su Internet gratuitamente. 

Un’affermazione così roboante, equivalente quasi a quella dei biglietti Alitalia in regalo (una truffa recente ne potete leggere qui). E forse, PlusPrivacy non è una truffa, ma certamente è qualcosa che appare estremamente sfuggente e prima che vengano consegnati i nostri dati personali a qualcuno (non è chiarissimo chi) è quasi impossibile avere informazioni precise.

PlusPrivacy: tutti i dubbi in merito

Ecco alcune cose che non vengono chiarite o che dovrebbero sollevare qualche sospetto:

  • Chi ha realizzato l’applicazione? Libero Tecnologia con sicurezza afferma che si tratta di OPERANDO project, tuttavia non evidenzia che questo è solo il nome del consorzio, sul negozio di iOs l’applicazione risulta sviluppata da Romsoft Srl, società rumena di software che, incidentalmente dice anche di avere sviluppato PlusPrivacy;
  • Il dominio PlusPrivacy.com non dice in alcun modo chi è l’intestatario del dominio, non lo dicono le politiche per la protezione dei dati personali (formale violazione dell’art. 13 del d.lg. 196/2003) e non lo dice nemmeno il database whois, che al riguardo è molto scarno di informazioni;
  • In più, selezionando la pagina dei contatti, sul dominio PlusPrivacy non ci viene presentata alcuna informativa, a fronte comunque della raccolta dei nostri dati personali (seconda formale violazione dell’art. 13 del d.lg. 196/2003);

I cookie sospetti

Tra le altre cose tra il curioso e lo sgradevole, c’è la indicazione immancabile sui cookies adottati:

During the initial beta period of this service, Google Analytics will know that you visited this site. No other information about you and your clicks on buttons/links on this site will be transferred to Google or another 3rd party. 

Tuttavia, un veloce controllo ci informa che tramite la visita a questo dominio non viene salvato alcun cookie di Google Analytics, ma uno differente che, per quanto generico, scade solamente il primo gennaio 2099 (fra più di ottantun anni!).

Possiamo/dobbiamo quindi supporre (ma nessuna informazione chiara ci viene fornita), che Romsoft ha sviluppato il software insieme (o come parte) del consorzio Operando, tuttavia anche quest’ultimo soggetto non è molto chiaro circa la sua identità:

  • la Privacy policy si limita ad indicare il titolare dei trattamenti come “Operando Consortium”, senza alcuna indicazione geografica, giuridica ulteriore, e il modulo contatti ci invita a scrivere ad una persona che ha un indirizzo di posta elettronica con differente dominio (presso Oxford Computer Consultants), ovviamente nessuna informativa rilevabile;
  • per confondere ulteriormente le idee, il dominio operando.eu non è registrato dal consorzio Operando, ma è intestato a Progetti d’impresa Srl, società italiana che dice di avere una sede legale in Modena (whois eurid).

PlusPrivacy conviene o no?

Insomma, ci viene presentato un software che in maniera abbastanza insinuante ci fa credere che per il solo fatto di avere un account Facebook potremmo guadagnarci, che si propone di raccogliere tutti i dati personali correlati alla nostra identità digitale, che si propone di gestire questi dati personali in modo accentrato e unico.

MA A FRONTE DI TUTTO QUESTO:

  • non ci viene detto chi è il contraente;
  • non ci viene detto chi effettuerà il servizio;
  • non ci vengono presentate le condizioni generali del servizio (!);
  • e non ci viene presentata alcuna informativa sulla protezione dei dati personali (formale violazione di legge).

Magari il servizio fornito è eccellente e rivoluzionario (francamente ne dubito profondamente), ma al momento, così presentandosi la situazione, pare di vedere il Lupo che si propone di aiutare Cappuccetto Rosso a portare le cose buone alla nonna.

psicologo privacy

Psicologi e privacy

Uno dei temi molto esplorati dalla protezione dei dati personali è quello del delicato bilanciamento che si attua nel rapporto di lavoro. Il datore di lavoro tratta necessariamente dati personali dei propri dipendenti (è un fatto intrinsecamente legato alla sua posizione lavorativa) e molti datori di lavoro devono anche occuparsi di trattare dati sanitari nell’ambito della verifica periodica dell’idoneità lavorativa.

Per alcune categorie di lavoratori si attua poi la sorveglianza sanitaria che prevede periodici esami nei quali si verifica l’assenza di condizioni ostative. Leggo che tale tema si sta estendendo anche a controlli di natura psicologica nei confronti dei docenti, e leggo pure che si usa come argomento per rendere questo tema improponibile la “privacy“:

E c’è ancora un’altra questione ancora più complessa che si scontra con la normativa sulla privacy: supponiamo che lo psicologo accerti che l’insegnante X necessita di una qualche forma di “intervento”, come dovrà procedere?  Ovviamente non potrà darne comunicazione al datore di lavoro che in nessun caso potrà conoscere gli esiti degli accertamenti.

Un caso classico in cui con superficialità di usa un argomento pretestuoso e fallace per rifiutare qualcosa. Non entro nel merito della questione che è delicata e ricca di problemi e criticità, ma è sbagliato, ingannevole e superficiale dire che “le norme sulla privacy” renderebbero improbabile un monitoraggio psicologico dei docenti, ci sono molte categorie che sono già sottoposte a questo tipo di controllo e viene attuata, per quanto in modo molto articolato, con piena tutela dei reciproci diritti.

backup dati personali

Backup dati personali: cosa è obbligatorio fare

Aneddoto

In piena notte di quel venerdì 7 ottobre 2016, in Italia, su una strada di una qualsiasi provincia italiana, alla periferia del capoluogo, un’automobile viaggia a velocità sostenuta, è buio e la strada è poco o niente illuminata, il limite imposto in quel tratto di statale è di sessanta chilometri orari.

L’automobile tuttavia sta viaggiando a più di centodieci chilometri orari, è una vecchia Giulietta Alfa Romeo, sono anni che non effettua la revisione e la sua carta di circolazione è scaduta, chi guida ha deciso di vedere non solo sino a che punto tira la vecchia vettura sportiva del nonno, ma anche se conosce la strada così bene da poterla percorrere a fari spenti, nella notte. Si sente il personaggio di una canzone di Lucio Battisti, Antonio, nipote di Antonio, mentre sfreccia lungo la strada rombando.

Dopo un lungo rettilineo c’è una brusca curva a sinistra lungo la statale ed è quasi una curva parabolica che però ha due differenti punti di corda, così bisogna farla con attenzione e pronti a correggere la traiettoria.

Antonio si distrae fatalmente quando non deve e così la Giulietta scivola perde aderenza e travolge, sull’altra carreggiata, la bicicletta di Gianluca, che dopo avere finito il suo lavoro nella sua pasticceria lì vicino sta tornando a casa in bicicletta; sono poche centinaia di metri dalla pasticceria a casa sua, ed è per questo che con ogni tempo e ad ogni orario Gianluca preferisce fare la strada in bici, e sono poche centinaia di metri, per questo non ha mai montato i fari alla sua bici o la tuta con i catarifrangenti.

Il giorno dopo i giornali locali parleranno del gesto folle di Antonio e lo descriveranno come l’ennesimo pirata della strada. Nessuno sarà mosso a compassione per le ferite che ha riportato, nessuno piangerà i danni alla Giulietta del nonno.

#Wannacry ma non solo

Da anni mi chiedo come mai i giudizi spesso drastici, feroci e crudeli che la gente riserva a chi tiene condotte stradali così azzardate non vengono applicati per analogia anche a chi è vittima di minacce informatiche come quella in corso con Wannacry.

Lunedì 15 maggio 2017, nella provincia già teatro – ad ottobre – dell’incidente immaginato, in più di un ufficio scoprono che i loro computer sono bloccati e che l’attacco in corso da giovedì in oltre cento Paesi ha colpito pure loro.

Perché chi tratta dati personali usando computer, senza avere una copia di sicurezza (backup) tiene un comportamento imprudente molto simile a quello di Antonio. Ma la somiglianza non è limitata all’imprudenza, infatti sia Antonio con la Giulietta del nonno che il titolare dei trattamenti privo di backup stanno violando la legge.

Antonio non può circolare con la Giulietta senza idonea carta di circolazione, e non può ignorare i limiti di velocità e tenere i fari della vettura spenti, facendo questo si è automaticamente messo “dalla parte del torto”, ma anche il titolare che tratta dati personali (siano essi i dati del personale assunto o le quote del condominio di cui è amministratore) non può non avere adottato delle buone politiche di salvataggio dei dati.

Il backup dei dati, non una scelta: un obbligo

Dal 2003 il backup diventa un obbligo: tutti coloro i quali trattano dati personali per fini che non siano quelli esclusivamente personali (cfr. art. 5 d.lg. 196/2003) dovendo applicare le misure minime di sicurezza (cfr. articoli 31, 33, 34 del d.lg. 196/2003), devono anche porsi il problema delle “copie di sicurezza”.

Questo è il testo dell’art. 33:

Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

L’articolo successivo (art. 34, comma 1, lettera f) invece dice che si possono trattare dati personali con strumenti elettronici solamente se sono adottate (tra gli altri obblighi):

procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi

Se anche questi riferimenti non bastassero, sono ribaditi dall’Allegato B al Codice Privacy, che infatti alla regola 18 sottintende l’operazione di backup (dei dati) dicendo:

Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

In sintesi, dunque, sul backup dei dati personali dobbiamo tenere a mente che:

  • devono essere salvati almeno settimanalmente;
  • devono essere salvati e custoditi secondo procedure idonee;
  • devono essere ripristinati e resi disponibili secondo procedure idonee.

Backup dei dati: obbligo vuol dire sanzioni per l’inadempimento

È un obbligo, sancito dall’art. 33, dall’art. 34 e dall’Allegato B al Codice Privacy. Non adempiere a questo obbligo significa incorrere nella sanzione prevista dall’art. 162 comma 2-bis, e nella sanzione prevista dall’art. 169 (almeno teoricamente).

Nel primo caso (l’art. 162 comma 2-bis) è prevista una sanzione amministrativa da ventimila a centoventimila euro. Nel secondo caso è previsto l’arresto sino a due anni.

L’illecito amministrativo e il reato si realizzano non quando si verificano danni a seguito degli inadempimenti, ma per il solo fatto di avere omesso gli adempimenti nel modo corretto. Quindi, a ben vedere, è quasi più grave non avere un backup e relative procedure di custodia e ripristino che non guidare a fari spenti nella notte…

12