• informazioni@maragines.com

Archivio dei tag privacy

On line il modello per comunicare i dati del DPO

È finalmente online il Modulo per la comunicazione dei dati di contatto del DPO/RPD all’Autorità Garante in Italia. Lo avevamo aspettato per mesi e negli ultimi giorni ho più volte detto ai miei clienti che, non essendoci ancora, dovevamo pazientare un poco, ma ora è qui, lo possiamo iniziare ad usare o possiamo prepararci di corsa per iniziare ad usarlo.

Cosa serve per compilarlo

Ci sono le istruzioni ma in effetti è una operazione molto semplice, per compilarlo servono tutte le informazioni del titolare dei trattamenti, la sua esatta denominazione, il codice fiscale (se ne ha uno), la sede legale, un numero di telefono (è obbligatorio), un indirizzo fisico e un indirizzo PEC.

Servono anche tutte le informazioni del DPO/RPD: quindi il suo cognome, il suo nome (come fossimo al servizio militare) il suo numero di telefono/cellulare un suo indirizzo di posta elettronica, e un indirizzo PEC.

Ma servono anche informazioni relative al soggetto che fa la comunicazione e la compila (e la dovrà firmare), cognome e nome (sempre come fossimo al servizio militare), e un indirizzo di posta elettronica. Questa persona dovrà anche firmare digitalmente un documento (quindi deve essere dotata, personalmente, di firma digitale).

Serve anche sapere dove e come si è resa nota l’esistenza del DPO/RPD, usando i “dati di contatto” pubblicati sul sito Internet o indicando dove sono stati indicati.

Per i gruppi imprenditoriali

Bisognerà valutare se il gruppo ha pensato e valutato di designare un RPD/DPO di gruppo, in quel caso bisognerà indicare gli estremi della società controllante (se non è il soggetto per cui si sta facendo la comunicazione) anche indicando gli estremi della comunicazione (se in Italia) o verso quale Autorità di controllo straniera è stata fatta la comunicazione.

Chi lo può compilare

Non lo può compilare, apparentemente, per sé, il DPO/RPD. Anche se questa è una mera deduzione personale che potrebbe essere sbagliata: niente vieta che il Responsabile per la Protezione Dati inserisca due volte il proprio nome: come persona che effettua la comunicazione su delega del titolare dei trattamenti.

Tuttavia le istruzioni e la modulistica non accennano nemmeno incidentalmente a questa ipotesi; questo ha quindi provocato la mia deduzione che il soggetto che effettua la dichiarazione non possa essere il DPO/RPD delegato dal titolare, ma, hai visto mai…

Come si fa

Semplice: si compila online in ogni parte, si compila anche il “Codice di sicurezza” e si “Invia”, ricevendo a questo punto un messaggio di posta elettronica con un file allegato che dovrà essere firmato (e l’Autorità raccomanda di firmarlo persino senza aprirlo, già…) il file file firmato con estensione p7m deve a questo punto essere inviato e il soggetto che effettua la comunicazione riceverà un ID Provvisorio di comunicazione.

L’Autorità effettuerà i controlli formali, verificherà tra l’altro che il file inviato e il file firmato siano identici (per questo raccomanda persino di non aprilo…).

Se l’Autorità verificherà che formalmente non ci sono vizi, accoglierà la comunicazione e di conseguenza:

  • scriverà al “soggetto che ha effettuato la comunicazione” dandogli un numero di protocollo che diverrà importantissimo;
  • il Titolare del trattamento (come indicato nella comunicazione), all’indirizzo PEC riceverà un documento di sintesi di tutte le informazioni inviate;
  • il soggetto indicato quale RPD/DPO riceverà all’indirizzo PEC un documento con tutte le informazioni inserite e il numero di protocollo già menzionato.

Il numero di protocollo sarà quello che tutti dovranno indicare per le future comunicazioni con l’Autorità.

Osservazioni

Finalmente è arrivata! È qui, la possiamo usare e la possiamo segnalare, è stato importante ed è certamente una procedura fatta in modo abbastanza snello. Tuttavia alcune cose mi fanno storcere un poco il naso, non penso tanto il fatto che nel modulo si indichi prima il cognome e solo dopo il nome (è poco elegante, ma è una quisquilia), penso invece l’uso della firma digitale con riferimento ad uno standard normativo nazionale, e all’uso della PEC come strumento di comunicazione.

Se da un lato è comprensibile la scelta di adottare lo strumento della firma digitale che velocizza le operazioni e che è uno strumento riconosciuto in ambito europeo, invece non riesco ad apprezzare la scelta di rendere obbligatorio l’uso di una PEC.

La PEC è uno strumento limitato, non riconosciuto fuori dall’Italia e quindi è – secondo me – sconsigliabile adottarlo in un contesto internazionale, e, almeno, comunitario. Personalmente ero sempre riuscito a non adottarlo ma a questo punto obtorto collo sarò costretto a farne uso.

Da ultimo, invece che mettere un link dell’AgID che non indica l’elenco dei certificatori, potevano direttamente mettere quello che li indica in ordine alfabetico: Prestatori Attivi.

Da ultimo, mi sono messo a rileggere l’informativa per questa comunicazione adottata dal Garante, e ironicamente mi chiedo se non si poteva fare uno sforzo maggiore per adottare un linguaggio chiaro, adottando l’indiazione della Autorità stessa che raccomandava termini semplici usando, persino, l’italiano colloquiale.

Uber data breach

Ieri è stata diffusa una nota del presidente dell’Autorità Garante per la protezione dei dati personali:

“Non possiamo che esprimere forte preoccupazione per la violazione subita da Uber, tardivamente denunciata dalla società americana. Abbiamo aperto un’istruttoria e stiamo raccogliendo tutti gli elementi utili per valutare la portata del data breach e le azioni da intraprendere a tutela degli eventuali cittadini italiani coinvolti.

Quello che certo colpisce,  in una multinazionale digitale come Uber, è l’evidente insufficienza di  adeguate misure di sicurezza a protezione dei dati e quello che sconcerta è la scarsa trasparenza nei confronti degli utenti sulla quale indagheremo”.

La notizia riguarda la violazione dei dati personali che Uber avrebbe confermato di avere subito l’anno scorso, riguardante i dati personali di 50 milioni di clienti e 7 milioni di autisti. È stata data da Bloomberg dal Wall Street Journal ed è così rimbalzata anche in Italia dove tra le tante notizie diffuse (il Post ad esempio) si segnala per completezza e intelligenza delle domande, ovviamente, quello pubblicato su La Stampa da Carola Frediani che oltre che riportare la notizia esprime qualche dubbio e perplessità e fa delle domande che, al momento, rimangono senza risposta. 

È importante ricordare che, a partire dal 25 maggio 2018, entrando in vigore il Regolamento UE, troverà anche piena applicazione l’art. 33 del Regolamento che impone la comunicazione all’Autorità di controllo competente, a meno che, la violazione sia improbabile, “che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche” (dal comma 1, dell’art. 33). 

In questo caso non sappiamo con precisione quali dati siano stati oggetto della violazione, ma pare ci siano nomi, cognomi, e-mail e numeri di telefono, ovviamente associati al dato che sono tutti clienti o autisti di Uber. In questi casi è quindi possibile ipotizzare degli attacchi mirati ed è quindi difficile fare valere l’esenzione citata.

Fidarsi ad occhi chiusi

Tra minacce, attacchi, virus e vulnerabilità varie, cresce in modo spesso doloroso la consapevolezza che i propri dati personali (per chi volesse sul Glossario esiste la relativa definizione) siano un patrimonio da proteggere. Libero tecnologia ci segnala con grande enfasi l’esistenza di un progetto che si chiama Plus Privacy e che ha lo scopo (addirittura!) di consentirci di guadagnare vendendo i nostri dati personali:

Come è noto, le informazioni raccolte dai vari siti sono utilizzate per ottenere profitto. La funzione cerca di dare agli utenti un tool con cui provare a monetizzare i dati personali rilasciati su Internet gratuitamente. 

Un’affermazione così roboante, equivalente quasi a quella dei biglietti Alitalia in regalo (una truffa recente ne potete leggere qui). E forse, PlusPrivacy non è una truffa, ma certamente è qualcosa che appare estremamente sfuggente e prima che vengano consegnati i nostri dati personali a qualcuno (non è chiarissimo chi) è quasi impossibile avere informazioni precise:

  • Chi ha realizzato l’applicazione? Libero tecnologia con sicurezza afferma che si tratta di OPERANDO project, tuttavia non evidenzia che questo è solo il nome del consorzio, sul negozio di iOs l’applicazione risulta sviluppata da Romsoft Srl, società rumena di software che, incidentalmente dice anche di avere sviluppato PlusPrivacy;
  • Il dominio PlusPrivacy.com non dice in alcun modo chi è l’intestatario del dominio, non lo dicono le politiche per la protezione dei dati personali (formale violazione dell’art. 13 del d.lg. 196/2003) e non lo dice nemmeno il database whois, che al riguardo è molto scarno di informazioni;
  • In più, selezionando la pagina dei contatti, sul dominio PlusPrivacy non ci viene presentata alcuna informativa, a fronte comunque della raccolta dei nostri dati personali (seconda formale violazione dell’art. 13 del d.lg. 196/2003);
  • tra le altre cose tra il curioso e lo sgradevole, c’è la indicazione immancabile sui cookies adottati:

During the initial beta period of this service, Google Analytics will know that you visited this site. No other information about you and your clicks on buttons/links on this site will be transferred to Google or another 3rd party. 

Tuttavia, un veloce controllo ci informa che tramite la visita a questo dominio non viene salvato alcun cookie di Google Analytics, ma uno differente che, per quanto generico, scade solamente il primo gennaio 2099 (fra più di ottantun anni!).

Possiamo/dobbiamo quindi supporre (ma nessuna informazione chiara ci viene fornita), che Romsoft ha sviluppato il software insieme (o come parte) del consorzio Operando, tuttavia anche quest’ultimo soggetto non è molto chiaro circa la sua identità:

  • la Privacy policy si limita ad indicare il titolare dei trattamenti come “Operando Consortium”, senza alcuna indicazione geografica, giuridica ulteriore, e il modulo contatti ci invita a scrivere ad una persona che ha un indirizzo di posta elettronica con differente dominio (presso Oxford Computer Consultants), ovviamente nessuna informativa rilevabile;
  • per confondere ulteriormente le idee, il dominio operando.eu non è registrato dal consorzio Operando, ma è intestato a Progetti d’impresa Srl, società italiana che dice di avere una sede legale in Modena (whois eurid).

Insomma, ci viene presentato un software che in maniera abbastanza insinuante ci fa credere che per il solo fatto di avere un account Facebook potremmo guadagnarci, che si propone di raccogliere tutti i dati personali correlati alla nostra identità digitale, che si propone di gestire questi dati personali in modo accentrato e unico, MA A FRONTE DI TUTTO QUESTO:

  • non ci viene detto chi è il contraente;
  • non ci viene detto chi effettuerà il servizio;
  • non ci vengono presentate le condizioni generali del servizio (!);
  • e non ci viene presentata alcuna informativa sulla protezione dei dati personali (formale violazione di legge).

Magari il servizio fornito è eccellente e rivoluzionario (francamente ne dubito profondamente), ma al momento, così presentandosi la situazione, pare di vedere il Lupo che si propone di aiutare Cappuccetto Rosso a portare le cose buone alla nonna.

Psicologi e privacy

Uno dei temi molto esplorati dalla protezione dei dati personali è quello del delicato bilanciamento che si attua nel rapporto di lavoro. Il datore di lavoro tratta necessariamente dati personali dei propri dipendenti (è un fatto intrinsecamente legato alla sua posizione lavorativa) e molti datori di lavoro devono anche occuparsi di trattare dati sanitari nell’ambito della verifica periodica dell’idoneità lavorativa.

Per alcune categorie di lavoratori si attua poi la sorveglianza sanitaria che prevede periodici esami nei quali si verifica l’assenza di condizioni ostative. Leggo che tale tema si sta estendendo anche a controlli di natura psicologica nei confronti dei docenti, e leggo pure che si usa come argomento per rendere questo tema improponibile la “privacy“:

E c’è ancora un’altra questione ancora più complessa che si scontra con la normativa sulla privacy: supponiamo che lo psicologo accerti che l’insegnante X necessita di una qualche forma di “intervento”, come dovrà procedere?  Ovviamente non potrà darne comunicazione al datore di lavoro che in nessun caso potrà conoscere gli esiti degli accertamenti.

Un caso classico in cui con superficialità di usa un argomento pretestuoso e fallace per rifiutare qualcosa. Non entro nel merito della questione che è delicata e ricca di problemi e criticità, ma è sbagliato, ingannevole e superficiale dire che “le norme sulla privacy” renderebbero improbabile un monitoraggio psicologico dei docenti, ci sono molte categorie che sono già sottoposte a questo tipo di controllo e viene attuata, per quanto in modo molto articolato, con piena tutela dei reciproci diritti.

1