Il regolamento europeo sulla privacy è in vigore: è tempo di prepararsi

Il nuovo regolamento europeo sulla protezione dei dati personali è ormai in vigore.
La data prevista per la sua applicazione è fissata per il 25 maggio 2018. Due anni all'incirca ! Potrebbero sembrare più che sufficienti per adeguarsi, ma vanno letti alla luce della portata innovativa del regolamento.
 L'87% di un campione rappresentativo dei CIO si è detto preoccupato del fatto che le attuali politiche e procedure di sicurezza li lascino esposti al rischio di non conformità al regolamento; secondo altre ricerche, gli investimenti relativi alla protezione dei dati non hanno ancora una priorità elevata per le aziende, con il 63% dei rispondenti che sottolinea un grado di maturità dei programmi sulla privacy, ancora nelle fasi iniziali o a metà dell'opera. Infine, una buona parte dei professionisti IT all'interno di organizzazione medio grandi non si è detto confidente sulla possibilità di garantire una conformità con il regolamento per la data del 25 maggio 2018.
Si tratta di statistiche che, al di la dei numeri, evidenziano uno stato di impreparazione e confusione all'interno delle organizzazioni in tutto il mondo. Tutto legittimo, considerate le novità rilevanti introdotte dal regolamento, quali:

  • la notifica entro 72 ore delle violazioni alla sicurezza dei dati personali (data breach);
  • l'introduzione del principio secondo cui i titolari devono dimostrare di essere stati responsabili nell'attuazione del regolamento;
  • la necessità di integrare i principi di protezione dei dati nello sviluppo dei processi e dei sistemi di business, nonchè l'applicazione predefinita di impostazioni di protezione stringenti (es. minimizzazione dei dati);
  • l'esecuzione di valutazione di impatto e la nomina di responsabili della protezione dei dati (data protection officer), nei casi previsti
Si tratta di novità tali da comportare la revisione di strutture e processi aziendali al fine di prevedere:

  • la creazione di piani di notifica delle violazione che non coinvolgano soltanto il personale IT ma, ad esempio, anche HR, legale, ecc...
  • la creazione di una cultura di monitoraggio, revisione e valutazione dei processi di trattamento dei dati personali;
  • la riduzione al minimo dei trattamenti e delle politiche di conservazione dei dati;
  • l'integrazione delle misure di sicurezza nelle attività di trattamento;
  • la documentazione delle politiche, procedure e operazioni di trattamento per poterle esibire eventualmente, su richiesta, all'autorità di controllo
Senza dimenticare poi i nuovi diritti per gli interessati come quello di richiedere la cancellazione dei propri dati senza ingiustificato ritardo, il diritto alla portabilità dei dati, il diritto di non essere sottoposto a decisioni basate unicamente su processi automatizzati; nuove forme di tutela che si intrecciano con quelle tradizionali e pongono sulle aziende l'onere di raggiungere una capacità, non soltanto procedurale e organizzativa, ma anche tecnologica per poter rispondere ad eventuali richieste degli interessati.

Insomma, la portata innovativa del regolamento è tale da creare la necessità di definire un processo che parta da una valutazione dello status quo di adeguatezza ai nuovi requisiti e si muova progressivamente verso la creazione di un ambiente di protezione della privacy e la definizione di una strategia di adeguamento aderente ai rischi e ai vincoli di budget che ogni organizzazione ha.

Un iter questo che sconsiglia di prendere sotto gamba il termine di due anni; del resto, come diceva un vecchio adagio: chi ha tempo non aspetti tempo.

La fiducia dei consumatori si gioca sulla protezione dei loro dati personali

La fiducia dei consumatori nelle aziende potrebbe dipendere dalle politiche aziendali in materia di sicurezza e riservatezza delle informazioni molto più di quanto si pensi. Queste le conclusioni alle quali si può giungere leggendo i  risultati di un report che ha analizzato l'impatto che le violazioni di sicurezza delle informazioni hanno proprio sulla fiducia dei consumatori.

Dai dati presentati risulta che il 54% dei consumatori si crea una opinione negativa delle aziende che subiscono una violazione di sicurezza, il 78% si dichiara prudente nel considerarle veramente capaci di proteggere le informazioni, mentre il 72% ha deciso che condividerà meno informazioni personali, anche in relazione alla frequenza con cui si verificano gli incidenti di sicurezza.

Si tratta di dati che fanno riflettere in una economia digitale nella quale diversi modelli di business sono incentrati sulla raccolta e l'elaborazione di informazioni, anche di natura personale.

Questi risultati, anche se proiettati prevalentemente nel contesto americano, non sono da sottovalutare per via della crescente preoccupazione che gli europei nutrono per la riservatezza e sicurezza dei propri dati personali e della recente pubblicazione del nuovo regolamento europeo sulla privacy che entrerà in vigore a partire dal 28 maggio 2018.

Un regolamento che, tra l'altro, prevede proprio obblighi di notifica delle violazioni di sicurezza dei dati, non solo nei confronti dell'autorità di controllo ma anche alle persone interessate, a meno che non ricorrano certe condizioni di esenzione.

Può essere l'occasione per le aziende di partire da una prospettiva più ampia che consideri l'iter di adeguamento alla nuova normativa come un processo da affrontare progressivamente, con i dovuti tempi, e, soprattutto, come una opportunità dal punto di vista della customer satisfaction e di cura della propria reputazione.

Perchè l'adozione di politiche di protezione dei dati è diventata, al tempo stesso, una aspettativa da parte dei consumatori e una parte importante del processo di acquisto e del mantenimento di un rapporto fiduciario.
E non è poco per un paese, come l'Italia, nel quale si dibatte in modo fervido sui processi di trasformazione digitale.

12 siti web per migliorare la privacy online


Gli utenti delle rete italiani hanno più a cuore la questione della riservatezza online dei propri dati personali rispetto ad un anno fa:
Recentemente mi sono imbattuto in una lista di 12 siti web che condivido nella tabella sottostante; si tratta di siti che offrono consigli, indicazioni ed elenchi di strumenti utili al miglioramento della privacy online.

Le risorse sono state valutate tra le più importanti da Enisa, l'ente europeo per la sicurezza delle reti e delle informazioni, in un documento rilasciato in seguito ad uno studio compiuto proprio con riferimento al tema della privacy online. 

Sito
Organizzazione
Indirizzo web
Descrizione
Secure Messaging
Scorecard
Electronic Frontier Foundation (EFF)
Presentazione e valutazione di strumenti e app per la sicurezza della messaggistica.
Prism Break
Nylira (Peng Zhong)
Offre elenchi di strumenti utili alla privacy suddivisi per categorie e piattaforme
Security in-a-box
Tactical Technology
Collective and Front Line Defenders
E’ un portale generalista che offre consigli e elenchi di strumenti utili per la privacy
EPIC Online Guide
to Practical Privacy
Tools
Electronic Privacy
Information Center (EPIC)
Offre elenchi di strumenti utili per la privacy suddivisi per categorie
The Ultimate
Privacy Guide
The Ultimate
Privacy Guide
E’ un portale generalista che offre consigli ed indicazioni utili per migliorare la riservatezza soprattutto delle comunicazioni e dei sistemi di messaggistica
Free Software
Directory
Free Software
Foundation (FSF
E’ un portale generalista con elenchi di software libero utile per la sicurezza informatica
Privacytools.io
Privacytools.io
Offre consigli ed elenchi di software utili per la privacy
Me & My Shadow
Tactical
Technology
Collective
E’ un portale specializzato soprattutto sul tracking online; offre consigli e informazioni su strumenti utili per la privacy
Gizmo’s Freeware
Gizmo’s Freeware
E’ un portale generalista che offre elenchi di software utili per la sicurezza informatica e la privacy
Best Privacy Tools
Best Privacy Tools
Offre elenchi di strumenti utili per la privacy
Internet Privacy
Tools
Internet Privacy
Tools
Offre elenchi di software utile per la privacy, soprattutto per quanto riguarda la cifratura delle comunicazioni (es. email, browser)
Reset The Net
Privacy Pack
Fight for the
Future and Center
for Rights
Offre elenchi di software liberi utili per la privacy soprattutto per quanto riguarda la riservatezza delle comunicazioni (es. smartphone, email, browser)

Nel documento viene inoltre descritta una metodologia per la valutazione delle qualità e funzionalità degli strumenti tecnologici per il miglioramento della privacy (Privacy Enhancing Technologies - PET) destinati al pubblico in generale.

Image courtesy: https://pixabay.com/it/digitale-cartello-stradale-sicurezza-579553/


Pubblicità online e privacy: è guerra sugli ad-blocker ?

ad-blocker privacy In un report PageFair e Adobe fanno luce sul fenomeno dell'uso e della diffusione degli strumenti di blocco della pubblicità online noti come ad-blocker.

Secondo i dati presentati, circa 200 milioni di utenti nel mondo si affidano a strumenti di ad blocking, un fenomeno che nel 2015 è cresciuto del 41% rispetto al periodo precedente, causando una perdita di circa 22 miliardi di dollari in termini di introiti derivanti dalla pubblicità.

Da un lato questo fenomeno conferma il ruolo attivo che gli utenti della rete hanno ormai assunto e, dall'altro, desta non poco allarme nel mondo dell'industria pubblicitaria; la risposta da parte di editori e proprietari di siti non si è fatta attendere. Diversi siti hanno cominciato a fare uso di script che, identificando l'uso di ad-blocker da parte degli utenti, ne bloccano la navigazione o l'accesso a specifiche parti del sito.

Appicabilità della direttiva e-privacy

La cosa non è passata inosservata e, a seguito di una specifica richiesta di un attivista privacy, la commissione europea ha espresso con una lettera l'opinione secondo cui l'uso di tali meccanismi dovrebbe ricadere sotto la tutela che l'articolo 5.3 della direttiva sulla protezione della vita privata nelle comunicazioni elettroniche (nota come direttiva e-privacy) riconosce agli utenti.

Si tratta della norma sui cookies, in base alla quale l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate sul terminale di un abbonato o di un utente è consentito soltanto a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso dopo essere stato informato, in modo chiaro e completo, anche sugli scopi del trattamento.

E' opinione comune, anche del gruppo di lavoro dei garanti europei, che il riferimento ai cookies sia da intendere in modo ampio, includendo anche altre tecnologie di tracciamento, in linea del resto con quanto espresso nel considerando 66 della direttiva citata.

Tuttavia il presupposto sul quale si regge l'opinione dell'applicabilità della norma citata sembra essere quello secondo cui i meccanismi di scoperta degli ad-blocker memorizzano script sul terminale dell'utente. Questa memorizzazione, che altri ritengono invece infondata, farebbe scattare l'obbligo di informativa e raccolta del consenso dell'utente.

Certamente, se si dovesse ricorrere veramente al consenso degli utenti questo rischierebbe di essere vanificato e di rimettere in discussione modelli di business che appaiono consolidati, come quello basato sull'accesso "gratuito" alle informazioni in cambio della pubblicità, oppure di mettere a repentaglio la sopravvivenza di siti che traggono dagli introiti pubblicitari il loro unico sostentamento.

Nel frattempo per chi fa eventualmente uso dei meccanismi citati potrebbe essere una buona idea rivedere le informative privacy, in modo da includere anche le informazioni relative a tali meccanismi, oltre che rivedere gli obblighi contrattuali intercorrenti con i fornitori di reti pubblicitari o i titolari di siti relativamente al trattamento dei dati personali e alla raccolta del consenso.

Privacy e sicurezza di smartphone e tablet. Utili, ma non immuni da rischi

Articolo parzialmente modificato, pubblicato anche su Gruppo TakeITEasy.

Smartphone e tablet sono, tra le periferiche hardware, quelle che maggiormente trainano un segmento di mercato che, analogamente a molti altri, risente della crisi in una certa misura. Questo si deve, in parte, al fenomeno della consumerizzazione dell’IT che si sta diffondendo, anche grazie alla presa che lo slogan “porta il lavoro sempre in tasca con te” esercita sulle aziende, spingendole a fare investimenti in questo settore, con grande gioia dei vendor.

Si tratta di un fenomeno abbastanza consolidato, almeno secondo le indagini effettuate che parlano di un 88% del campione di riferimento (600 aziende in 17 paesi), i cui dipendenti utilizzano sul posto di lavoro i dispositivi citati non solo per la gestione della posta elettronica e l’accesso ai social network, ma anche per  le applicazioni aziendali, CRM in primis.

La stessa ricerca, inoltre, evidenzia una propensione alla spesa nel settore che, per le aziende italiane, si attesta intorno al 28% del budget IT.
Quale è il punto allora ? Cominciamo col dire che non è tutto oro quel che luccica: non possiamo certo negare l’utilità della tecnologia, in generale, e di questa in particolare, a condizione che non diventi un mezzo di eterna schiavitù dal lavoro, ma dobbiamo adottare una prospettiva più ampia, integrale, che tenga conto anche dei rischi e dei profili di responsabilità per le aziende che decidono di investire in essa.

Questioni da considerare

  • smartphone e tablet stanno diventando strumenti elettronici di trattamento dei dati personali, di cui l’azienda è titolare (es. dati dei clienti, dipendenti/collaboratori, ecc…), con conseguente applicabilità degli obblighi di protezione del T.U privacy (D.Lgs. 196/03);
  • con questi dispositivi gli utenti aziendali accedono ad Internet, per cui gli eventuali illeciti commessi sulla rete (si pensi ad ipotesi di download illegale di risorse protette, di diffamazione, ecc…) possono comportare a carico dell’azienda profili di corresponsabilità civile, per omessa adozione di controlli e misure di sicurezza;
  • l’uso dei dispositivi è spesso “promiscuo”, cioè riguarda sia gli aspetti lavorativi che quelli concernenti la vita privata dell’utilizzatore (es. dati finanziari, home banking, foto di famiglia, ecc…), per cui anche i dati di quest’ultimo sono a rischio (es. furti di identità);
  • possibilità di tracciamento e/o profilazione dell’utente, a sua insaputa, attraverso dati univoci (codice IMEI e numero di telefono) e moduli GPS (tra l’altro la geolocalizzazione integrare una forma di controllo a distanza dell’attività lavorativa, con le ben note problematiche di cui all’art. 4 dello Statuto dei lavoratori);
  • se non adeguatamente custoditi tali strumenti possono essere facilmente smarriti o rubati, con tutte le conseguenze che ne derivano (si tratta del primo di tre rischi più alti – vedi sotto (3));
  • la trasportabilità dei dispositivi favorisce l’esternalizzazione di dati e servizi (es. cloud computing);
  • una insufficiente conoscenza od “alfabetizzazione informatica” dell’utilizzatore può comportare una rivelazione non intenzionale di dati personali o confidenziali (si tratta del secondo di tre rischi più alti – vedi sotto (3));
  • una dismissione impropria, nel caso di sostituzione, mette a rischio i dati, se questi ultimi non sono prontamente cancellati in modo sicuro (si tratta del terzo di tre rischi più alti – vedi sotto (3));
  • trattandosi di una tecnologia relativamente nuova, il livello della sicurezza delle applicazioni e dei moduli software non è ancora sufficientemente affidabile, anche per via di una distribuzione poco tempestiva degli aggiornamenti;
  • le clausole e/o condizioni di utilizzo delle applicazioni sono poco chiare, soprattutto per gli aspetti relativi al trattamento ed alla sicurezza delle informazioni, comprese quelle di natura personale;
  • esiste una miriade di fonti, poco o per nulla attendibili, dalle quali possono essere scaricate applicazioni potenzialmente nocive (il fenomeno del mobile malware è in fortissima ascesa);

Naturalmente questo elenco non vuole avere carattere di esaustività, però parliamo in generale di aspetti ben documentati (vedi approfondimenti) che non possono essere ignorati ma devono essere gestiti in modo adeguato, per evitare che il ricorso alla tecnologia, allo scopo di migliorare ed ottimizzare il funzionamento di una struttura aziendale o professionale (si, perchè la questione può riguardare anche i professionisti, specie quelli deontologicamente vincolati ad obblighi di segretezza più ampi del semplice diritto alla riservatezza), si trasformi in un boomerang di eventi causativi di responsabilità che ne azzerano completamente l’utilità.

Consigli per l’uso

Alcuni consigli ed azioni da intraprendere per un uso ottimale della tecnologia mobile, da parte di aziende e professionisti, sono i seguenti:

  • fare una analisi dei rischi (organizzativi, tecnologici, legali) ed adottare le opportune misure di sicurezza, soprattutto quelle minime ed idonee richieste dal T.U privacy;
  • valutare attentamente le clausole dei contratti con i produttori dei dispositivi e del software di sistema e con gli operatori di telecomunicazione che li commercializzano con il proprio brand;
  • valutare attentamente le condizioni legali d’uso delle applicazioni mobile installate sui dispositivi;
  • predisporre regolamenti per un corretto utilizzo (trattandosi di strumenti aziendali che accedono ad Internet ed alla posta elettronica, essi potrebbero rientrare nell’ambito applicativo del provvedimento del garante del 1 marzo 2007);
  • impedire l’installazione, l’accesso e l’uso di applicazioni di dubbia od illecita provenienza;
  • formare adeguatamente gli utenti, soprattutto per quanto concerne rischi e responsabilità aziendali;
  • predisporre regolamenti per gestire i casi di dismissione dei dispositivi e le procedurre per la sicura cancellazione dei dati;

Approfondimenti

  1. Smartphone e tablet: scenari attuali e prospettive operative
  2. Smartphone: information security risks, opportunities and recommendations for users
  3. Top ten smartphone risks
  4. Smartphone secure development guidelines
  5. Data leakage resulting from device loss or theft

231 e studi professionali: la Cassazione propende per l’applicabilità

Il percorso di ampliamento del fronte di applicabilità del D.Lgs. 231/01, non solo dal punto di vista degli illeciti, ma anche dei soggetti ai quali può essere contestata una responsabilità, si arricchisce di un ulteriore tassello, questa volta di natura non legislativa.

Infatti con la sentenza 4703/2012 la II sez. pen. della Corte di Cassazione ha confermato l’applicabilità della sanzione dell’interdizione dall’esercizio dell’attività ad uno studio odontoiatrico, nella fattispecie strutturato in forma di società in accomandita semplice.

Come è stato giustamente prospettato, questa apertura giurisprudenziale, potrebbe avere degli effetti, dal punto di vista degli adempimenti necessari e dell’adozione dei modelli organizzativi, anche da parte di soggetti non assimilabili, in modo tradizionale, all’impresa; una adozione che sarebbe tanto più giustificata, in relazione alla natura delle sanzioni applicabili ed ai loro effetti potenzialmente deleteri per l’entità costretta a subirli (nella specie, la sanzione dell’interdizione può incidere in modo serio sull’attività di uno studio professionale e sul mantenimento della sua clientela).

Questo, anche in considerazione, della accresciuta possibilità di costituire società tra professionisti, recentemente introdotta dagli interventi normativi in tema di stabilità

La pronuncia non è comunque la prima che si caratterizza per una certa intepretazione estensiva, ma si inserisce in un filone di cui si ravvisano esempi anche abbastanza recenti, come la sentenza della Cassazione 24583/2011, sulla estendibilità anche alla capogruppo della responsabilità per i reati commessi dalla controllata, e quella 15657/2011 che ha aperto le porte all’applicazione della 231 nei confronti dell’impresa individuale.

Cloud computing in Europa: i risultati della consultazione pubblica

Di recente sono stati pubblicati i risultati di una consultazione pubblica sul fenomeno del cloud computing in Europa; da tale documento si possono trarre importanti osservazioni su quale sia la percezione che aziende e singoli individui hanno di tale fenomeno, soprattutto dal punto di vista delle questioni legali e della protezione dei dati personali (privacy).

Da un campione di 538 intervistati, 230 dei quali rappresentati da aziende, ed il resto da individui, accademici, istituzioni ed altri soggetti, emerge una situazione di generale incertezza nell’attuale quadro normativo europeo di riferimento, alla quale si sommano le inevitabili diversità con le quali i singoli stati membri hanno adottato, nei rispettivi ordinamenti, la legislazione europea.

A questo si aggiunge una mancanza di chiarezza sui diritti delle parti e le responsabilità dei fornitori di servizio che può generare ambiguità nella gestione di quelle tipiche situazioni “transfrontaliere” o “oltre confine”, del tutto normali per una infrastruttura di tipo globale e distribuito, come appunto quella che supporta i servizi in cloud.

Le ragioni alla base di tale percezione di incertezza sono riconducibili fondamentalmente ad una serie di fattori:

  • la mancanza di consapevolezza negli intervistati: molti ammettono di non sapere neanche da dove iniziare per acquisire informazioni utili;
  • la complessità delle problematiche, soprattutto per quanto riguarda le responsabilità, che dipendono non soltanto dalle clausole contrattuali ma anche da regole normative obbligatorie (es. quelle in materia di protezione dei dati personali), la cui applicazione non può essere disattesa per contratto;
  • le variabili legali (es. obblighi contrattuali, legislazione penale, protezione dei dati personali, ecc…) che determinano la giurisdizione applicabile;

Questi risultati lasciano spazio per due considerazioni: la prima è che, soprattutto le imprese, hanno bisogno del supporto di una consulenza specifica in materia, ma faticano a trovarla (o forse ritengono erroneamente di poterne fare a meno ?); la seconda è la necessità di armonizzare le differenti legislazioni, sia a livello europeo che internazionale.

Il report conclude evidenziando una forte condivisione sulla necessità di predisporre a livello europeo linee guida, checklist, nonchè modelli di livelli di servizio (Service Level Agreement) ragionevoli e condizioni contrattuali (End User Agreement) semplici e chiare; oltre naturalmente ad una revisione dell’attuale quadro normativo che possa facilitare l’espansione del modello cloud preservando al tempo stesso la protezione e la riservatezza dei dati personali.

Approfondimenti

SaaS (Clooud Computing): aspetti legali e di compliance

Impresa, tecnologia ed informazioni: rischi e considerazioni legali

875413_47541979 Le imprese oggi si trovano a doversi interfacciare, a vari livelli, con la tecnologia e gli strumenti, per gestire quantitativi sempre più ingenti di dati ed informazioni rilevanti nel contesto o per l’andamento aziendale.

Se da un lato è pressoché impossibile rinunciare al ruolo strategico e di supporto che il binomio tecnologia ed informazioni garantisce nella ottimizzazione delle attività aziendali e, quindi, nel mantenimento di adeguati livelli di competitività, efficienza e sviluppo, dall'altro non si può dimenticare che questi vantaggi hanno dei costi, di cui si tende spesso a considerare la sola componente economica.

In realtà, però, i costi hanno anche una dimensione in termini di acquisizione di consapevolezzaorganizzazione e gestione; infatti, è difficile poter parlare di vantaggi se strumenti ed informazioni vengono utilizzati in modo non adeguato, esponendo l'organizzazione a rischi inutili, tra cui quelli di natura tecnologica (es. violazioni della riservatezza delle informazioni, ecc...) e legale (es. non conformità, inadempimenti contrattuali, richieste risarcitorie, ecc...).

Perciò questa considerazione mi offre lo spunto per provare a delineare in modo schematico, senza alcuna pretesa di esaustività, le questioni di natura legale che una impresa informatizzata si trova, inevitabilmente, a dover fronteggiare se vuole beneficiare dei vantaggi della tecnologia, proteggendo nel contempo se stessa ed il valore delle informazioni che detiene e gestisce. Mi riferisco principalmente ad aspetti nei quali la gestione delle informazioni e/o l'uso della tecnologia comportano:

  • obblighi di compliance, cioè conformità a leggi, regolamenti, standard di settore o accordi tra le parti;
  • oneri particolari di tutela nei confronti dei soggetti attraverso i quali l'azienda opera (es. dipendenti) o con i quali interagisce (es. fornitori, clienti, competitors, pubblica amministrazione, ecc...);

Partendo da una classificazione per macroaree, si possono individuare i seguenti domini applicativi:

  • privacy: uso delle risorse aziendali (es. internet, posta elettonica, telefonia mobile e fissa), SaaS, cloud computing, biometria, videosorveglianza, RFID, geolocalizzazione, voip, marketing, social networks;
  • tutela della reputazione: protezione del brand online (es. name squatting);
  • contrattualistica: outsourcing, accordi sui livelli di servizio (Service Level Agreement, SLA), SaaS, cloud computing, social media marketing, accordi di riservatezza (Non-Disclosure Agreement, NDA), connettività Internet, telefonia, voip, fornitura e manutenzione dell'hardware, sviluppo, fornitura e manutenzione del software;
  • informazioni aziendali: protezione delle informazioni segrete (es. know-how);
  • proprietà intellettuale:diritto d'autore (es. contenuti online, prodotti audio/visivi, software, Digital Rights Management, ecc...);
  • proprietà industriale: marchi, brevetti, disegni e modelli;
  • rapporti con la pubblica amministrazione digitale: posta elettronica certificata, conservazione sostitutiva dei documenti, fatturazione elettronica;
  • responsabilità amministrativa: prevenzione dei reati informatici e di quelli contro il diritto d'autore, modelli organizzativi e di controllo;

Photo courtesy: darktaco

Telemarketing: il registro ed il regime delle chiamate indesiderate

Un altro tassello si è aggiunto di recente alla complessa regolamentazione del fenomeno del telemarketing dal punto di vista della privacy, a seguito dell'entrata in funzione del registro delle opposizioni, di cui alla normativa del DPR 178/2010.

La funzione primaria di tale registro, gestito da un entità terza, è quella di un meccanismo per tutelare i dati personali di chi non desidera essere disturbato da telefonate pubblicitarie, senza per questo compromettere eccessivamente gli interessi economici delle aziende che operano in questo settore o che scelgono di avvalersi di questa forma di marketing.

Si tratta quindi del meccanismo specifico attraverso il quale viene data attuazione ad una riforma del settore, già introdotta con la legge 166/2009, che ha determinato il passaggio da un sistema basato sul consenso preventivo (opt-in) ad uno basato, invece, sulla manifestazione espressa di un diniego (opt-out).
Infatti, a partire dal 31 gennaio 2011, gli abbonati che non desiderano più ricevere chiamate telefoniche con operatore, per l'invio di materiale pubblicitario, vendita diretta, ricerche o comunicazioni commerciali, devono iscriversi in tale registro con una delle modalità previste (web, email, fax, telefono).
A questo registro si affianca inoltre un provvedimento dell'autorità garante della privacy che ha fissato dei limiti precisi, proprio per garantire il rispetto della volontà dei cittadini da parte degli operatori.

Ambito di applicazione

Partiamo intanto dalla considerazione dei soggetti coinvolti che sono, da un lato, l'abbonato, cioè:

"qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi telefonici accessibili al pubblico per la fornitura di tali servizi, o destinatario di tali servizi anche tramite schede prepagate, la cui numerazione sia comunque inserita negli elenchi [...] ";

e dall'altro l'operatore:

"qualunque soggetto, persona fisica o giuridica, che, in qualita' di titolare [...]intenda effettuare il trattamento dei dati [...] per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l'impiego del telefono";

L'iscrizione nel registro e le nuove regole si applicano solo alle numerazioni riportate negli elenchi di abbonati, perciò, fermo restando questi limiti, è ora stabilito che:

  • gli operatori di telemarketing non possono più contattare i numeri telefonici degli abbonati iscritti nel registro;

  • se un operatore ha già ricevuto il consenso di un abbonato a ricevere telefonate promozionali, potrà continuare a contattarlo, anche se iscritto nel registro. Però il consenso precedentemente acquisito dovrà essere documentabile per iscritto e sarà, comunque, liberamente revocabile in qualsiasi momento;

  • se un abbonato ha chiesto di non essere più disturbato da telefonate, l'operatore dovrà rispettare la sua volontà, anche se non iscritto nel registro;

Per quanto riguarda invece il trattamento di dati aventi una origine differente dagli elenchi degli abbonati, risulta che:

  • per le numerazioni derivanti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, il trattamento è possibile, in assenza del consenso dell'interessato, solo se una specifica disciplina preveda espressamente le attività di comunicazioni telefoniche per le finalità di invio di materiale pubblicitario, vendita diretta, ricerche o comunicazioni commerciali, oppure se tali comunicazioni siano direttamente funzionali all'attività svolta dall'interessato, sempreché non vi sia stata o sia manifestata opposizione al trattamento;

  • per le numerazioni contenute in banche dati comunque formate (fuori dei casi di cui al punto precedente), il trattamento è possibile nel rispetto dei principi generali e, quindi, previo rilascio di una idonea informativa e l'acquisizione dello specifico consenso;

Esclusioni

L'entrata in funzione del registro non pregiudica le regole vigenti in materia di pubblicità  effettuata attraverso la posta tradizionale o con strumenti diversi dal telefono (es. posta elettronica, telefax, messaggi del tipo Mms o Sms, chiamate automatizzate senza operatore), per la quale continua ad applicarsi il principio della richiesta di un consenso preventivo e informato del destinatario della comunicazione.

Sanzioni

Per la mancata osservanza delle prescrizioni dell'autorità è prevista l'applicazione di una sanzione da 30mila a 180mila euro e, nei casi più gravi, fino a 300mila euro.

Photo coutesy: igordeniro

Pubblicità comportamentale online: quali regole per la privacy ?

1279664_10824501

Tra le varie forme di pubblicità esistenti, quella "online" rappresenta, senza dubbio, un segmento molto dinamico ed importante per lo sviluppo di un economia legata alla rete Internet.

Esistono, però, degli aspetti di legalità da considerare, soprattutto per quanto riguarda la cd. pubblicità comportamentale, termine con il quale si indica il tracciamento degli utenti in rete, attuato con lo scopo di derivare dall'osservazione delle loro azioni un profilo comportamentale che funga da base per la trasmissione di messaggi pubblicitari "personalizzati" [...]

A causa della invasività delle principali tecniche di tracciamento, nonchè della loro, pressocchè totale,  invisibilità per gli utenti, questa pratica presenta aspetti che possono incidere significativamente sulla protezione dei dati personali e della vita privata perchè, almeno potenzialmente, offre la possibilità di ricostruire, in modo molto dettagliato, le attività online degli interessati, a totale insaputa di questi ultimi.
Per questo motivo essa viene presa in grande considerazione da tutti i legislatori e le autorità di protezione nazionali ed europei; proprio in questo ambito, il gruppo di lavoro dell'articolo 29 della direttiva 95/46/CE (l'organismo rappresentativo delle autorità di protezione europee), ha adottato nel 2010 un parere che fornisce un quadro giuridico di riferimento abbastanza articolato.

Tecniche e strumenti di tracciamento

Sono per lo più basati sull'elaborazione lato client delle informazioni derivanti da motori di ricerca e dall'apparecchiatura terminale dell'utente, con una predominanza dei cd. cookies, frammenti di testo memorizzati e, successivamente, recuperati dal sistema dell'utente con lo scopo di alimentare ed identificare il  profilo comportamentale di quest'ultimo.

Dei cookies si è occupata recentemente anche ENISA - Agenzia Europea per la sicurezza delle informazioni e della rete - con un documento ufficiale (in lingua inglese) intitolato "Bittersweet cookies. Some security and privacy considerations".

Inoltre esistono anche i cd. flash cookies, la cui adozione è in forte aumento perchè consentono di superare le limitazioni insite nella cancellazione (al momento della chiusura del browser) o nel rifiuto (attraverso le impostazioni di privacy) dei cookies tradizionali; tra l'altro, i flash cookies non possono essere cancellati mediante le impostazioni tradizionali di privacy di un web browser, essendo la loro gestione separata e, come tale, poco conosciuta dagli utenti non esperti (vedi Come cancellare i flash cookies dal proprio sistema).

Le regole applicabili

Secondo l'interpretazione fornita, la pubblicità comportamentale soggiace alle disposizioni delle direttive e-privacy (2002/58/CE) e privacy (95/46/CE) o, meglio, della relativa normativa italiana di attuazione, vale a dire il T.U privacy (D.Lgs. 196/2003). Peraltro, la direttiva e-privacy è stata modificata dalla recente direttiva 2009/136/CE che dovrebbe ricevere attuazione nel territorio italiano entro la data del 25 maggio 2011.

Partendo dalla direttiva e-privacy (art. 5, par. 3), risulta che per memorizzare od accedere lecitamente ad informazioni archiviate nell'apparecchiatura terminale di un utente sia necessario il consenso preventivo ed informato dell'interessato.

Le informazioni cui si fa riferimento possono essere di qualsiasi tipo (es. cookies), e non necessariamente dati di natura personale, poichè l'obbligo opera in funzione generica di protezione di un aspetto della vita privata; questo spiega anche il perchè tale obbligo non si applichi soltanto ai servizi di comunicazione elettronica, ma ad ogni altro servizio che si avvalga di tecniche similari.

Quando poi le informazioni raccolte con i cookies od altri simili dispositivi sono di natura personale, si applicano, in aggiunta, i dettami della direttiva privacy (95/46/CE), tra cui vi sono i principi relativi ai diritti degli interessati, alla qualità dei dati, alla sicurezza dei trattamenti ed ai limiti per il trasferimento internazionale dei dati.

Un ulteriore aspetto è quello riguardante l'ambito territoriale di applicazione, in particolare:

  • la tutela offerta dalla direttiva 2002/58/CE riguarda le informazioni conservate nell'apparecchiatura terminale degli interessati che utilizzano reti di comunicazione pubbliche nell'unione europea;

  • la tutela offerta dalla direttiva 95/46/CE riguarda: a) il trattamento dei dati personali effettuato nell'ambito delle attività di un responsabile del trattamento, stabilito nel territorio dell'unione europea; b) il trattamento dei dati personali effettuato da un responsabile del trattamento che, pur non essendo stabilito nel territorio dell'unione europea, ricorre, ai fini del trattamento stesso, a strumenti situati in tale territorio;

Nel parere si evidenzia, da un lato, l'assoluta inadeguatezza degli strumenti tradizionali offerti dal  browser, basati sul rifiuto preventivo e generalizzato dei cookies, e, dall'altro, l'opportunità di implementare, anche con la cooperazione dei produttori di software, meccanismi incentrati su un azione positiva dell'utente, dalla quale risulti la sua volontà di ricevere cookies e di accettare il relativo monitoraggio delle attività online, con lo scopo di ricevere messaggi pubblicitari personalizzati.

Per quanto concerne invece gli obblighi informativi, sul rispetto dei quali si basa la validità del consenso, si considera insufficiente la semplice menzione dell'uso della pubblicità comportamentale all'interno delle condizioni generali del sito e/o dell'informativa privacy; occorre, piuttosto, che agli utenti sia comunicato, in modo chiaro e semplice: a) chi è il responsabile del trasferimento dei cookies e della raccolta delle informazioni, b) il fatto che i cookies sono utilizzati per creare profili dell'utente, c) il tipo di informazioni raccolte, d) l'utilizzo dei profili per la trasmissione di messaggi pubblicitari personalizzati, e) la possibilità che l'utente sia identificato attraverso i cookies su diversi siti web.

Non mancano, infine, considerazioni sulla ripartizione dei profili di responsabilità tra i vari soggetti che risultano coinvolti nel circuito della pubblicità comportamentale, vale a dire i fornitori di reti pubblicitarie, gli editori e gli inserzionisti.

Photo-courtesy: Yello-Dog