Privacy e sicurezza di smartphone e tablet. Utili, ma non immuni da rischi

Articolo parzialmente modificato, pubblicato anche su Gruppo TakeITEasy.

Smartphone e tablet sono, tra le periferiche hardware, quelle che maggiormente trainano un segmento di mercato che, analogamente a molti altri, risente della crisi in una certa misura. Questo si deve, in parte, al fenomeno della consumerizzazione dell’IT che si sta diffondendo, anche grazie alla presa che lo slogan “porta il lavoro sempre in tasca con te” esercita sulle aziende, spingendole a fare investimenti in questo settore, con grande gioia dei vendor.

Si tratta di un fenomeno abbastanza consolidato, almeno secondo le indagini effettuate che parlano di un 88% del campione di riferimento (600 aziende in 17 paesi), i cui dipendenti utilizzano sul posto di lavoro i dispositivi citati non solo per la gestione della posta elettronica e l’accesso ai social network, ma anche per  le applicazioni aziendali, CRM in primis.

La stessa ricerca, inoltre, evidenzia una propensione alla spesa nel settore che, per le aziende italiane, si attesta intorno al 28% del budget IT.
Quale è il punto allora ? Cominciamo col dire che non è tutto oro quel che luccica: non possiamo certo negare l’utilità della tecnologia, in generale, e di questa in particolare, a condizione che non diventi un mezzo di eterna schiavitù dal lavoro, ma dobbiamo adottare una prospettiva più ampia, integrale, che tenga conto anche dei rischi e dei profili di responsabilità per le aziende che decidono di investire in essa.

Questioni da considerare

  • smartphone e tablet stanno diventando strumenti elettronici di trattamento dei dati personali, di cui l’azienda è titolare (es. dati dei clienti, dipendenti/collaboratori, ecc…), con conseguente applicabilità degli obblighi di protezione del T.U privacy (D.Lgs. 196/03);
  • con questi dispositivi gli utenti aziendali accedono ad Internet, per cui gli eventuali illeciti commessi sulla rete (si pensi ad ipotesi di download illegale di risorse protette, di diffamazione, ecc…) possono comportare a carico dell’azienda profili di corresponsabilità civile, per omessa adozione di controlli e misure di sicurezza;
  • l’uso dei dispositivi è spesso “promiscuo”, cioè riguarda sia gli aspetti lavorativi che quelli concernenti la vita privata dell’utilizzatore (es. dati finanziari, home banking, foto di famiglia, ecc…), per cui anche i dati di quest’ultimo sono a rischio (es. furti di identità);
  • possibilità di tracciamento e/o profilazione dell’utente, a sua insaputa, attraverso dati univoci (codice IMEI e numero di telefono) e moduli GPS (tra l’altro la geolocalizzazione integrare una forma di controllo a distanza dell’attività lavorativa, con le ben note problematiche di cui all’art. 4 dello Statuto dei lavoratori);
  • se non adeguatamente custoditi tali strumenti possono essere facilmente smarriti o rubati, con tutte le conseguenze che ne derivano (si tratta del primo di tre rischi più alti – vedi sotto (3));
  • la trasportabilità dei dispositivi favorisce l’esternalizzazione di dati e servizi (es. cloud computing);
  • una insufficiente conoscenza od “alfabetizzazione informatica” dell’utilizzatore può comportare una rivelazione non intenzionale di dati personali o confidenziali (si tratta del secondo di tre rischi più alti – vedi sotto (3));
  • una dismissione impropria, nel caso di sostituzione, mette a rischio i dati, se questi ultimi non sono prontamente cancellati in modo sicuro (si tratta del terzo di tre rischi più alti – vedi sotto (3));
  • trattandosi di una tecnologia relativamente nuova, il livello della sicurezza delle applicazioni e dei moduli software non è ancora sufficientemente affidabile, anche per via di una distribuzione poco tempestiva degli aggiornamenti;
  • le clausole e/o condizioni di utilizzo delle applicazioni sono poco chiare, soprattutto per gli aspetti relativi al trattamento ed alla sicurezza delle informazioni, comprese quelle di natura personale;
  • esiste una miriade di fonti, poco o per nulla attendibili, dalle quali possono essere scaricate applicazioni potenzialmente nocive (il fenomeno del mobile malware è in fortissima ascesa);

Naturalmente questo elenco non vuole avere carattere di esaustività, però parliamo in generale di aspetti ben documentati (vedi approfondimenti) che non possono essere ignorati ma devono essere gestiti in modo adeguato, per evitare che il ricorso alla tecnologia, allo scopo di migliorare ed ottimizzare il funzionamento di una struttura aziendale o professionale (si, perchè la questione può riguardare anche i professionisti, specie quelli deontologicamente vincolati ad obblighi di segretezza più ampi del semplice diritto alla riservatezza), si trasformi in un boomerang di eventi causativi di responsabilità che ne azzerano completamente l’utilità.

Consigli per l’uso

Alcuni consigli ed azioni da intraprendere per un uso ottimale della tecnologia mobile, da parte di aziende e professionisti, sono i seguenti:

  • fare una analisi dei rischi (organizzativi, tecnologici, legali) ed adottare le opportune misure di sicurezza, soprattutto quelle minime ed idonee richieste dal T.U privacy;
  • valutare attentamente le clausole dei contratti con i produttori dei dispositivi e del software di sistema e con gli operatori di telecomunicazione che li commercializzano con il proprio brand;
  • valutare attentamente le condizioni legali d’uso delle applicazioni mobile installate sui dispositivi;
  • predisporre regolamenti per un corretto utilizzo (trattandosi di strumenti aziendali che accedono ad Internet ed alla posta elettronica, essi potrebbero rientrare nell’ambito applicativo del provvedimento del garante del 1 marzo 2007);
  • impedire l’installazione, l’accesso e l’uso di applicazioni di dubbia od illecita provenienza;
  • formare adeguatamente gli utenti, soprattutto per quanto concerne rischi e responsabilità aziendali;
  • predisporre regolamenti per gestire i casi di dismissione dei dispositivi e le procedurre per la sicura cancellazione dei dati;

Approfondimenti

  1. Smartphone e tablet: scenari attuali e prospettive operative
  2. Smartphone: information security risks, opportunities and recommendations for users
  3. Top ten smartphone risks
  4. Smartphone secure development guidelines
  5. Data leakage resulting from device loss or theft
Ti è piaciuto questo articolo ? Se vuoi, puoi segnalarlo o lasciare un commento per aiutarci a fare meglio. Oppure, se hai bisogno di assistenza, puoi contattarci senza impegno ad uno di questi recapiti.
Bookmark Diggita

231 e studi professionali: la Cassazione propende per l’applicabilità

Il percorso di ampliamento del fronte di applicabilità del D.Lgs. 231/01, non solo dal punto di vista degli illeciti, ma anche dei soggetti ai quali può essere contestata una responsabilità, si arricchisce di un ulteriore tassello, questa volta di natura non legislativa.

Infatti con la sentenza 4703/2012 la II sez. pen. della Corte di Cassazione ha confermato l’applicabilità della sanzione dell’interdizione dall’esercizio dell’attività ad uno studio odontoiatrico, nella fattispecie strutturato in forma di società in accomandita semplice.

Come è stato giustamente prospettato, questa apertura giurisprudenziale, potrebbe avere degli effetti, dal punto di vista degli adempimenti necessari e dell’adozione dei modelli organizzativi, anche da parte di soggetti non assimilabili, in modo tradizionale, all’impresa; una adozione che sarebbe tanto più giustificata, in relazione alla natura delle sanzioni applicabili ed ai loro effetti potenzialmente deleteri per l’entità costretta a subirli (nella specie, la sanzione dell’interdizione può incidere in modo serio sull’attività di uno studio professionale e sul mantenimento della sua clientela).

Questo, anche in considerazione, della accresciuta possibilità di costituire società tra professionisti, recentemente introdotta dagli interventi normativi in tema di stabilità

La pronuncia non è comunque la prima che si caratterizza per una certa intepretazione estensiva, ma si inserisce in un filone di cui si ravvisano esempi anche abbastanza recenti, come la sentenza della Cassazione 24583/2011, sulla estendibilità anche alla capogruppo della responsabilità per i reati commessi dalla controllata, e quella 15657/2011 che ha aperto le porte all’applicazione della 231 nei confronti dell’impresa individuale.

Ti è piaciuto questo articolo ? Se vuoi, puoi segnalarlo o lasciare un commento per aiutarci a fare meglio. Oppure, se hai bisogno di assistenza, puoi contattarci senza impegno ad uno di questi recapiti.
Bookmark Diggita

Cloud computing in Europa: i risultati della consultazione pubblica

Di recente sono stati pubblicati i risultati di una consultazione pubblica sul fenomeno del cloud computing in Europa; da tale documento si possono trarre importanti osservazioni su quale sia la percezione che aziende e singoli individui hanno di tale fenomeno, soprattutto dal punto di vista delle questioni legali e della protezione dei dati personali (privacy).

Da un campione di 538 intervistati, 230 dei quali rappresentati da aziende, ed il resto da individui, accademici, istituzioni ed altri soggetti, emerge una situazione di generale incertezza nell’attuale quadro normativo europeo di riferimento, alla quale si sommano le inevitabili diversità con le quali i singoli stati membri hanno adottato, nei rispettivi ordinamenti, la legislazione europea.

A questo si aggiunge una mancanza di chiarezza sui diritti delle parti e le responsabilità dei fornitori di servizio che può generare ambiguità nella gestione di quelle tipiche situazioni “transfrontaliere” o “oltre confine”, del tutto normali per una infrastruttura di tipo globale e distribuito, come appunto quella che supporta i servizi in cloud.

Le ragioni alla base di tale percezione di incertezza sono riconducibili fondamentalmente ad una serie di fattori:

  • la mancanza di consapevolezza negli intervistati: molti ammettono di non sapere neanche da dove iniziare per acquisire informazioni utili;
  • la complessità delle problematiche, soprattutto per quanto riguarda le responsabilità, che dipendono non soltanto dalle clausole contrattuali ma anche da regole normative obbligatorie (es. quelle in materia di protezione dei dati personali), la cui applicazione non può essere disattesa per contratto;
  • le variabili legali (es. obblighi contrattuali, legislazione penale, protezione dei dati personali, ecc…) che determinano la giurisdizione applicabile;

Questi risultati lasciano spazio per due considerazioni: la prima è che, soprattutto le imprese, hanno bisogno del supporto di una consulenza specifica in materia, ma faticano a trovarla (o forse ritengono erroneamente di poterne fare a meno ?); la seconda è la necessità di armonizzare le differenti legislazioni, sia a livello europeo che internazionale.

Il report conclude evidenziando una forte condivisione sulla necessità di predisporre a livello europeo linee guida, checklist, nonchè modelli di livelli di servizio (Service Level Agreement) ragionevoli e condizioni contrattuali (End User Agreement) semplici e chiare; oltre naturalmente ad una revisione dell’attuale quadro normativo che possa facilitare l’espansione del modello cloud preservando al tempo stesso la protezione e la riservatezza dei dati personali.

Approfondimenti

SaaS (Clooud Computing): aspetti legali e di compliance

Ti è piaciuto questo articolo ? Se vuoi, puoi segnalarlo o lasciare un commento per aiutarci a fare meglio. Oppure, se hai bisogno di assistenza, puoi contattarci senza impegno ad uno di questi recapiti.
Bookmark Diggita

Impresa, tecnologia ed informazioni: rischi e considerazioni legali

875413_47541979 Le imprese oggi si trovano a doversi interfacciare, a vari livelli, con la tecnologia e gli strumenti, per gestire quantitativi sempre più ingenti di dati ed informazioni rilevanti nel contesto o per l’andamento aziendale.

Se da un lato è pressoché impossibile rinunciare al ruolo strategico e di supporto che il binomio tecnologia ed informazioni garantisce nella ottimizzazione delle attività aziendali e, quindi, nel mantenimento di adeguati livelli di competitività, efficienza e sviluppo, dall'altro non si può dimenticare che questi vantaggi hanno dei costi, di cui si tende spesso a considerare la sola componente economica.

In realtà, però, i costi hanno anche una dimensione in termini di acquisizione di consapevolezzaorganizzazione e gestione; infatti, è difficile poter parlare di vantaggi se strumenti ed informazioni vengono utilizzati in modo non adeguato, esponendo l'organizzazione a rischi inutili, tra cui quelli di natura tecnologica (es. violazioni della riservatezza delle informazioni, ecc...) e legale (es. non conformità, inadempimenti contrattuali, richieste risarcitorie, ecc...).

Perciò questa considerazione mi offre lo spunto per provare a delineare in modo schematico, senza alcuna pretesa di esaustività, le questioni di natura legale che una impresa informatizzata si trova, inevitabilmente, a dover fronteggiare se vuole beneficiare dei vantaggi della tecnologia, proteggendo nel contempo se stessa ed il valore delle informazioni che detiene e gestisce. Mi riferisco principalmente ad aspetti nei quali la gestione delle informazioni e/o l'uso della tecnologia comportano:

  • obblighi di compliance, cioè conformità a leggi, regolamenti, standard di settore o accordi tra le parti;
  • oneri particolari di tutela nei confronti dei soggetti attraverso i quali l'azienda opera (es. dipendenti) o con i quali interagisce (es. fornitori, clienti, competitors, pubblica amministrazione, ecc...);

Partendo da una classificazione per macroaree, si possono individuare i seguenti domini applicativi:

  • privacy: uso delle risorse aziendali (es. internet, posta elettonica, telefonia mobile e fissa), SaaS, cloud computing, biometria, videosorveglianza, RFID, geolocalizzazione, voip, marketing, social networks;
  • tutela della reputazione: protezione del brand online (es. name squatting);
  • contrattualistica: outsourcing, accordi sui livelli di servizio (Service Level Agreement, SLA), SaaS, cloud computing, social media marketing, accordi di riservatezza (Non-Disclosure Agreement, NDA), connettività Internet, telefonia, voip, fornitura e manutenzione dell'hardware, sviluppo, fornitura e manutenzione del software;
  • informazioni aziendali: protezione delle informazioni segrete (es. know-how);
  • proprietà intellettuale:diritto d'autore (es. contenuti online, prodotti audio/visivi, software, Digital Rights Management, ecc...);
  • proprietà industriale: marchi, brevetti, disegni e modelli;
  • rapporti con la pubblica amministrazione digitale: posta elettronica certificata, conservazione sostitutiva dei documenti, fatturazione elettronica;
  • responsabilità amministrativa: prevenzione dei reati informatici e di quelli contro il diritto d'autore, modelli organizzativi e di controllo;

Photo courtesy: darktaco

Ti è piaciuto questo articolo ? Se vuoi, puoi segnalarlo o lasciare un commento per aiutarci a fare meglio. Oppure, se hai bisogno di assistenza, puoi contattarci senza impegno ad uno di questi recapiti.
Bookmark Diggita

Telemarketing: il registro ed il regime delle chiamate indesiderate

Un altro tassello si è aggiunto di recente alla complessa regolamentazione del fenomeno del telemarketing dal punto di vista della privacy, a seguito dell'entrata in funzione del registro delle opposizioni, di cui alla normativa del DPR 178/2010.

La funzione primaria di tale registro, gestito da un entità terza, è quella di un meccanismo per tutelare i dati personali di chi non desidera essere disturbato da telefonate pubblicitarie, senza per questo compromettere eccessivamente gli interessi economici delle aziende che operano in questo settore o che scelgono di avvalersi di questa forma di marketing.

Si tratta quindi del meccanismo specifico attraverso il quale viene data attuazione ad una riforma del settore, già introdotta con la legge 166/2009, che ha determinato il passaggio da un sistema basato sul consenso preventivo (opt-in) ad uno basato, invece, sulla manifestazione espressa di un diniego (opt-out).
Infatti, a partire dal 31 gennaio 2011, gli abbonati che non desiderano più ricevere chiamate telefoniche con operatore, per l'invio di materiale pubblicitario, vendita diretta, ricerche o comunicazioni commerciali, devono iscriversi in tale registro con una delle modalità previste (web, email, fax, telefono).
A questo registro si affianca inoltre un provvedimento dell'autorità garante della privacy che ha fissato dei limiti precisi, proprio per garantire il rispetto della volontà dei cittadini da parte degli operatori.

Ambito di applicazione

Partiamo intanto dalla considerazione dei soggetti coinvolti che sono, da un lato, l'abbonato, cioè:

"qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi telefonici accessibili al pubblico per la fornitura di tali servizi, o destinatario di tali servizi anche tramite schede prepagate, la cui numerazione sia comunque inserita negli elenchi [...] ";

e dall'altro l'operatore:

"qualunque soggetto, persona fisica o giuridica, che, in qualita' di titolare [...]intenda effettuare il trattamento dei dati [...] per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l'impiego del telefono";

L'iscrizione nel registro e le nuove regole si applicano solo alle numerazioni riportate negli elenchi di abbonati, perciò, fermo restando questi limiti, è ora stabilito che:

  • gli operatori di telemarketing non possono più contattare i numeri telefonici degli abbonati iscritti nel registro;

  • se un operatore ha già ricevuto il consenso di un abbonato a ricevere telefonate promozionali, potrà continuare a contattarlo, anche se iscritto nel registro. Però il consenso precedentemente acquisito dovrà essere documentabile per iscritto e sarà, comunque, liberamente revocabile in qualsiasi momento;

  • se un abbonato ha chiesto di non essere più disturbato da telefonate, l'operatore dovrà rispettare la sua volontà, anche se non iscritto nel registro;

Per quanto riguarda invece il trattamento di dati aventi una origine differente dagli elenchi degli abbonati, risulta che:

  • per le numerazioni derivanti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, il trattamento è possibile, in assenza del consenso dell'interessato, solo se una specifica disciplina preveda espressamente le attività di comunicazioni telefoniche per le finalità di invio di materiale pubblicitario, vendita diretta, ricerche o comunicazioni commerciali, oppure se tali comunicazioni siano direttamente funzionali all'attività svolta dall'interessato, sempreché non vi sia stata o sia manifestata opposizione al trattamento;

  • per le numerazioni contenute in banche dati comunque formate (fuori dei casi di cui al punto precedente), il trattamento è possibile nel rispetto dei principi generali e, quindi, previo rilascio di una idonea informativa e l'acquisizione dello specifico consenso;

Esclusioni

L'entrata in funzione del registro non pregiudica le regole vigenti in materia di pubblicità  effettuata attraverso la posta tradizionale o con strumenti diversi dal telefono (es. posta elettronica, telefax, messaggi del tipo Mms o Sms, chiamate automatizzate senza operatore), per la quale continua ad applicarsi il principio della richiesta di un consenso preventivo e informato del destinatario della comunicazione.

Sanzioni

Per la mancata osservanza delle prescrizioni dell'autorità è prevista l'applicazione di una sanzione da 30mila a 180mila euro e, nei casi più gravi, fino a 300mila euro.

Photo coutesy: igordeniro

Ti è piaciuto questo articolo ? Se vuoi, puoi segnalarlo o lasciare un commento per aiutarci a fare meglio. Oppure, se hai bisogno di assistenza, puoi contattarci senza impegno ad uno di questi recapiti.
Bookmark Diggita
Related Posts with Thumbnails