Flash NewsMercoledì, 15 Marzo 2023 10:20 Il Garante privacy ha sanzionato una società di servizi di messaggistica con una multa di 80mila euro per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti (circa 7.250utenze). Alla società sono state inoltre contestate altre condotte illecite relative in particolare alle misure adottate per garantire la sicurezza del trattamento dei dati di traffico telematico e l’assenza di una base giuridica per effettuare controlli antifrode. L’Autorità, nel corso degli accertamenti ispettivi avviati a seguito di una segnalazione e di un reclamo, ha rilevato che il contenuto integrale dei messaggi inviati dai clienti (in genere persone giuridiche) era conservato senza che questi avessero espressamente acconsentito. Tra i contenuti dei messaggi, consistenti per lo più in comunicazioni di servizio inviate dagli utenti della piattaforma (banche, società di assicurazioni, aziende sanitarie,) ai propri clienti, c’erano anche password per operare con i servizi bancari (Otp – One time password), credenziali di autenticazione e dati particolari riferiti allo stato di salute o all’appartenenza a un partito politico. Ai contenuti degli sms potevano accedere anche gli incaricati della società. La società ha giustificato la sua attività ritenendo erroneamente che il contenuto degli sms rientrasse tra i dati di traffico, con conseguente obbligo di conservazione. Al riguardo l’Autorità ha ricordato che nessuna norma di legge impone la conservazione dei contenuti delle comunicazioni che, anzi, è espressamente vietata a meno che non sia autorizzata dall’utente con specifico e libero consenso per l’erogazione di servizi a valore aggiunto. Inoltre, nel corso delle attività ispettive, sono emerse una serie di altre violazioni, come ad esempio la conservazione dei dati di traffico senza che fosse prevista una distinzione tra i dati conservati per finalità di giustizia e quelli conservati per altre finalità (fatturazione o consultazione da parte del cliente) e la mancanza di una distinzione dei tempi di conservazione dei dati (data retention) in base alle finalità. Altresì la società effettuava preventivi controlli automatizzati, con finalità antifrode, sul contenuto degli sms inviati dai propri clienti per prevenire possibili attività di phishing ma senza avere un’idonea base giuridica per farlo. Il Garante, pur considerando le misure correttive adottate dalla società a seguito dei vari accertamenti ispettivi, ha ammonito la società per le violazioni riscontrate e ha ordinato il pagamento di una sanzione amministrativa di 80mila euro, calcolata tenendo conto anche delle giustificazioni addotte dalla stessa. Entro il termine stabilito, la società si è avvalsa della facoltà di definire la controversia ed ha pagato un importo pari alla metà della sanzione comminata. Fonte: Garante Privacy

Primo PianoDomenica, 15 Gennaio 2023 18:08 Compilare in modo corretto un registro dei trattamenti, è noto, rappresenta uno degli adempimenti fondamentali per ciascun titolare o responsabile del trattamento. La deroga di cui all’art. 30.5 GDPR per cui non sussiste tale obbligo si può dire di rara applicazione, dal momento che come ha ribadito l’EDPB confermando il position paper assunto già in aprile 2018 le attività di trattamento che possono essere escluse dal registro delle organizzazioni con meno di 250 dipendenti possono riguardare solo trattamenti occasionali di dati non rientranti nelle categorie particolari o relativi a condanne penali e reati per cui non sussiste alcun rischio per gli interessati. Avendo specifico riguardo al registro del titolare, poi, tale documento costituisce un elemento fondamentale di accountability [“responsabilizzazione” di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento] in quanto è idoneo a rendicontare tutte le principali informazioni riguardanti le attività svolte sui dati personali. Leggendo quanto prescrive l’art. 30 GDPR, non figura però alcun obbligo di indicare la base giuridica delle attività di trattamento. Pertanto, è lecito domandarsi se possa essere sufficiente adempiere alla lettera della norma o se altrimenti si possa – o meglio: si debba, in adesione alle best practice – indicare anche il fondamento di liceità delle attività svolte sui dati personali. La conformità dal punto di vista strettamente normativo non richiede alcun tipo di indicazione della base giuridica ma tale esigenza emerge per ragioni organizzative e di coordinamento documentale interno. Innanzitutto, ciascuna attività di trattamento deve individuare una delle basi individuate dall’art. 6 GDPR e, per i dati di categorie particolari rientrare nelle eccezioni di cui all’art. 9 GDPR mentre per i dati relativi a condanne penali e reati secondo le condizioni di cui all’art. 10 GDPR. Pertanto, in ottica non solo di rendicontazione (successiva) ma soprattutto di corretta progettazione (preventiva) dei trattamenti è bene che il titolare abbia contezza della corretta base giuridica cui fare ricorso per rispettare il principio di liceità. Non solo: a ciascuna delle attività di trattamento potranno corrispondere determinati diritti esercitabili da parte dell’interessato anche a seconda della base giuridica su cui è fondata. Un esempio su tutte: la possibilità di esercitare il diritto di opposizione, riservato ai soli trattamenti necessari all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (e dunque: alla base individuata dall’art. 6.1 lett. e) GDPR) o al perseguimento del legittimo interesse del titolare del trattamento o di terzi (e dunque: alla base individuata dall’art. 6.1 lett. f) GDPR). Inoltre, dal momento che fra le informazioni da rendere all’interessato ai sensi degli artt. 13 e 14 GDPR rientra anche l’indicazione della base giuridica del trattamento, l’inserimento di tale indicazione all’interno del registro consente di verificare il rispetto del principio di trasparenza e di mantenere aggiornate e coerenti le informative. Stefano Gazzella – Delegato Federprivacy per la provincia di Gorizia.

Privacy & SocietàSabato, 29 Ottobre 2022 09:15 Con un solo “no” fuori da tutti gli elenchi telefonici e possibilmente dai motori di ricerca su internet. È quanto prevede il Gdpr (regolamento Ue sulla privacy n. 2016/679), come interpretato dalla Corte di Giustizia Ue nella sentenza del 27/10/2022, resa nella causa C-129/21. Se una persona revoca il consenso alla pubblicazione e scambio delle numerazioni dato a una società di telefonia che compila elenchi telefonici, dunque, quest’ultima deve informare altri operatori omologhi, con cui, sulla base di quel consenso, condivide le numerazioni telefoniche. Inoltre, chi riceve la revoca del consenso deve anche informare i motori di ricerca in Internet della predetta richiesta di cancellazione. Insomma, se i dati circolano poggiandosi su un consenso unico, lo stop al flusso è imposto da un uguale e contrario unico dissenso, che, comunicato a un operatore, vale per tutta la filiera. La decisione dei giudici del Lussemburgo è molto tecnica, ma il concetto è molto semplice. Tutela della privacy significa dare all’individuo il potere effettivo di scegliere dove vanno a finire le informazioni che lo riguardano: cosa molto difficile nella società dell’informazione, dove una volta messa sulla rete Internet, l’informazione passa di mano in mano finché non se ne perdono le tracce. La sentenza tenta di arginare la tendenziale inarrestabilità della peregrinazione dei dati tra server, cloud e data base e stabilisce una serie di principi applicabili fuori dall’ambito delle telecomunicazioni, tutti ispirati all’idea che il diritto a controllare i propri dati deve vivere anche nell’impalpabilità del mondo virtuale e chi mette in giro i dati ne ha la responsabilità di fronte alla persona cui si riferiscono. Il primo principio messo nero su bianco dai giudici europei dice che ci vuole il consenso dell’abbonato di servizi telefonici per mettere i suoi dati personali negli elenchi telefonici e nei servizi di consultazione degli elenchi telefonici accessibili al pubblico. La Corte aggiunge che il consenso può essere dato a uno per tutti. Il secondo principio riguarda una precisazione: la richiesta di un abbonato di eliminazione dei suoi dati dagli elenchi telefonici e dai servizi pubblici di consultazione è un diritto alla cancellazione dagli elenchi, previsto dall’articolo 17 Gdpr: se violato si applica la sanzione fino al 20 milioni di euro. Il terzo principio va al cuore del problema e cioè che cosa deve fare un fornitore di elenchi telefonici e di servizi di consultazione quando gli arriva una richiesta di cancellazione da parte dell’abbonato. In base al Gdpr l’operatore di TLC deve dare notizia della revoca del consenso agli altri fornitori di elenchi con cui ha rapporti di dare/avere ad oggetto le numerazioni. Si tratta di un obbligo imposto dagli articoli 5 e 24 Gdpr, con sanzione che può arrivare a 20 milioni di euro. Infine, ai sensi dell’articolo 17 Gdpr, sempre a fronte della richiesta dell’abbonato di non pubblicare più i suoi dati, il fornitore di elenchi e relativi servizi di consultazione deve fare il meglio che può per informare i gestori dei motori di ricerca della di cancellazione. Anche per quest’ultimo adempimento, all’orizzonte si profila, in caso di inosservanza, una sanzione fino a 20 milioni di euro. La sentenza rimette sugli altari il diritto alla riservatezza e impone condotte di responsabilità sociale alle imprese della società dell’informazione, che, da un lato, possono avvalersi di un solo consenso per fruire in comune di dati portatori di fatturato ma, dall’altro, simmetricamente, devono garantire che basta un dissenso solo a dichiarare la fine dei giochi. Fonte: Italia Oggi del 28 ottobre 2022 – di Antonio Ciccia Messina

SpecialiMartedì, 18 Ottobre 2022 10:04 Il processo di valutazione del rischio è composto da tre fasi: l’identificazione, l’analisi e la ponderazione. Il trattamento del rischio è un passo successivo. Affinché una valutazione del rischio, nel suo complesso, possa essere considerata di buona qualità, deve possedere diverse caratteristiche; tra queste la “ripetibilità”, ovvero garantire che la valutazione, effettuate da soggetti diversi e/o in tempi diversi, (purché in relazione al medesimo contesto), dia risultati simili e confrontabili. Questo concetto è chiaramente esplicitato dalla ISO/IEC 27001:2013 (ma è mantenuto anche nella ISO/IEC 27001:2022 di prossima pubblicazione); al requisito 6.1.2 “Valutazione del rischio relativo alla sicurezza delle informazioni”, infatti, recita: “…assicuri che ripetute valutazioni del rischio relativo alla sicurezza delle informazioni producano risultati coerenti, validi e confrontabili tra loro…”. L’esigenza della ripetibilità si estende ovviamente alla valutazione del rischio, come richiesta dal GDPR, ed è ritenuta particolarmente importante in sede di audit e di ispezione da parte del Garante. La valutazione del rischio dovrebbe essere eseguita regolarmente, almeno una volta all’anno o ogni volta che si evidenziano cambiamenti significativi circa il contesto nel quale opera l’organizzazione; il panorama delle minacce è infatti destinato a cambiare costantemente, a seguiti di fattori interni ed esterni.Inoltre, ripetere la valutazione del rischio porta ad affinare la metodologia, fermo restando che non esiste la “soluzione perfetta”; si può comunque determinare se le misure messe in campo sono efficienti o devono essere ripensate, così come si può valutare la validità dell’approccio. In questo articolo si affrontano due aspetti della questione: – perché la ripetibilità è una caratteristica importante della valutazione del rischio;– come rendere ripetibile una valutazione del rischio. Perché la ripetibilità è una caratteristica importante della valutazione del rischio – I risultati della valutazione del rischio sono utili nella misura in cui il titolare è sicuro che il team di valutazione o il singolo valutatore, che identificano, analizzano e valutano il rischio, abbiano ricevuto le stesse informazioni dei team coinvolti in valutazioni precedenti. In altri termini le valutazioni devono essere il più possibile oggettive. Ciò permetterà non solo di dare il giusto valore al lavoro svolto, ma di poter presentare, sia in fase di audit che di ispezione, un elaborato che, sia pure non perfetto, risulti significativo in quanto risultato di un processo strutturato e coerente nel tempo. Ciò permetterà di dare maggiore valore alle scelte effettuate, le quali, sia pure potendosi rivelare migliorabili, possano dimostrare un approccio coerente con le esigenze del titolare e degli organi di controllo e di ispezione. Inoltre, sarà possibile motivare le decisioni alla base di alcune scelte di investimento, in particolare in ambito tecnologico, o di altre scelte effettuate. Anche nell’ipotesi in cui le opzioni adottate si rilevassero inadeguate, tale documentazione permetterebbe, anche a distanza di tempo, di oggettivare il percorso seguito, a dimostrazione che si è comunque adottato un approccio coerente con il set di informazioni a disposizione al momento della scelta. Come rendere ripetibile una valutazione del rischio – Per rendere coerenti tra loro successive valutazioni del rischio relative al medesimo contesto, è necessario che le informazioni rimangano coerenti, nelle valutazioni che via via si succedono. Inoltre, il team di valutazione deve seguire le linee guida stabilite, che definiscono l’approccio e gli strumenti per il calcolo della probabilità di rischio e dei fattori che intervengono a determinare tale valore. Per rendere ripetibile una valutazione del rischio è opportuno osservare le seguenti linee guida: – definire una metodologia anche sotto forma di procedura (peraltro espressamente richiesta dalla ISO/IEC 27001 e conseguentemente anche dalla ISO/IEC 27701:2019;– coinvolgere nel/nei team più persone in rappresentanza delle varie parti interessate, come funzioni interne, clienti, fornitori, agenti, partner, ecc.;– se si opera con più team questi devono essere omogenei nella composizione;– definire criteri chiari ed univoci per l’attribuzione dei valori di gravità, di probabilità ed eventualmente anche di rilevabilità;– documentare le scelte all’origine dei valori assegnati e descrivere le motivazioni con un adeguato grado di dettaglio; ciò permette di ricostruire la “storia” che ha portato alle scelte effettuate; questo è utile anche in fase di aggiornamento del documento, per risalire, a distanza di tempo, alle motivazioni poste alla base di una scelta;– documentare il processo che ha portato a privilegiare l’introduzione di alcune misure rispetto ad altre, (o ad eliminare misure precedentemente previste), dato che le organizzazioni operano con risorse limitate. Tra le tecniche utilizzabili una risulta particolarmente utile, anche se dispendiosa in termini di risorse impiegate, motivo per cui potrebbe essere utilizzata limitatamente ad alcuni ambiti di indagine che risultino particolarmente critici. Si tratta di organizzare due team di lavoro, formati da risorse diverse, ma in possesso dello stesso patrimonio di conoscenze dell’organizzazione. Ad ogni team, guidato da un facilitatore, vengono fornite le medesime informazioni relative al contesto e viene chiesto di produrre la valutazione del rischio. Nell’ambito della protezione dei dati personali i team potrebbero essere formati da rappresentati dell’ufficio privacy, dell’area ICT, delle risorse umane, degli approvvigionamenti, del facility. Inoltre, potrebbe essere opportuno o addirittura necessario coinvolgere rappresentanti del business, del commerciale, del marketing, ecc. Disponendo, ogni team, delle medesime informazioni e avendo un background simile, i risultati prodotti dovrebbero risultare coerenti tra loro. Se così fosse, si potrebbe affermare che la valutazione del rischio è ripetibile e questa ne è la prova migliore. In caso di risultati non omogenei, (anche in misura significativa), il facilitatore designato deve procedere con una negoziazione volta far convergere i risultati dei due gruppi verso una soluzione che soddisfi entrambi. Anche in questo modo, sia pure attraverso un processo di negoziazione, che peraltro ha il vantaggio di far prendere ulteriore consapevolezza ad entrambi i gruppi circa le soluzioni adottate, si evidenzia la ripetibilità del processo di valutazione. Conclusioni – Una valutazione del rischio ben documentata e quindi ripetibile va a vantaggio dell’organizzazione e delle parti interessate; obbliga i responsabili a decidere sulla base di valori oggettivi, a non procrastinare le scelte sine die, e a non nascondere scelte sbagliate dietro scuse come quella di non avere informazioni sufficienti. In sintesi, come scrive Cesare Gallotti in: Sicurezza delle informazioni – versione aggiornata a gennaio 2022: “..la necessità di documentare le proprie scelte rende più prudenti”.

Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti. Lo ha affermato il Garante per la privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso. All’esito di tali accertamenti il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito Caffeina Media S.r.l. che gestisce un sito web, ingiungendo alla stessa di conformarsi al Regolamento europeo entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate al trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti. Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti. Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali. Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari. Roma, 23 giugno 2022

Le città italiane sono sempre più digitali e invase dalle telecamere, ma per evitare di andare verso una società del controllo indiscriminato e non incorrere nelle pesanti sanzioni che sono previste dal GDPR è necessario cambiare urgentemente traiettoria rispetto agli scenari attuali. (Nella foto: Nicola Bernardi, presidente di Federprivacy) Da un lato, è promettente il comunicato diramato il 13 aprile 2022 dal Ministero dell’Interno, che rende nota la prossima erogazione di 27 milioni di euro a favore di 416 comuni che sono stati ammessi al finanziamento ministeriale per il potenziamento dei propri impianti di videosorveglianza, anche se adesso i rispettivi uffici tecnici e gli organi di polizia locale che hanno ottenuto il via libera per accedere ai contributi economici dovranno affrettarsi a preparare i relativi progetti tecnici esecutivi in linea con tutte le prescrizioni delle leggi vigenti. Tra le normative da rispettare, i comuni dovranno prestare particolare attenzione a quelle riguardanti la tutela della privacy e la protezione dei dati personali, e non si tratta di un compito di poco conto che può essere considerato un mero adempimento burocratico da gestire sbrigativamente, non solo per la complessità delle stesse norme, ma soprattutto perché in Italia il 71% delle sanzioni per violazioni del GDPR sono state irrogate proprio nei confronti di enti pubblici, i quali si trovano quindi a camminare su un terreno che per loro è tipicamente scivoloso. E se nel secondo semestre del 2021 il Garante aveva già puntato la lente sulla conformità dei trattamenti di dati personali effettuati attraverso le telecamere, non è certamente un caso che per il secondo semestre consecutivo, anche nel piano delle attività ispettive della prima metà del 2022 l’Authority abbia di nuovo inserito il controllo dei sistemi di videosorveglianza, denotando così le proprie intenzioni di continuare a monitorare attentamente quello che è ormai uno degli ambiti più invasivi per la privacy dei cittadini. A destare particolare preoccupazione, sono adesso i risultati che emergono da uno studio condotto da Federprivacy in collaborazione con Ethos Academy con l’obiettivo di fornire un quadro realistico sul rispetto della privacy nel mondo della videosorveglianza, esaminandone gli scenari da varie angolazioni con la mira di comprendere le tendenze e le percezioni di addetti ai lavori e cittadini, individuare i gap che ostacolano la conformità alla normativa in materia di protezione dei dati personali, ed essere così in grado di individuare più facilmente i fabbisogni per tracciare la corretta traiettoria verso un’espansione coerente dei sistemi di videosorveglianza, con particolare riguardo allo sviluppo sostenibile delle smart city. Il Rapporto “Videosorveglianza & Privacy tra cittadino, professionisti e imprese”, articolato in diverse fasi e indirizzato a tre distinte categorie di soggetti presi in esame, è stato effettuato un sondaggio su un campione di circa 2.000 cittadini chiedendo loro cosa osservano quando entrano in un esercizio pubblico dotato di un impianto di videosorveglianza: solo nell’8% dei casi risulta essere esposto un regolare cartello di informativa minima che avverte in modo chiaro e trasparente la presenza di telecamere con l’indicazione dei corretti riferimenti normativi e delle informazioni complete che devono essere fornite all’interessato. Per il 38% delle telecamere non c’è invece nessun cartello che ne mette a conoscenza il cittadino, a indicare che chi le ha installate non si è neanche posto il problema di dover rispettare una normativa in materia di privacy. E anche se nel restante 54% dei casi l’interessato prende atto che è esposto un cartello, tuttavia questo risulta poi del tutto inadeguato a causa di riferimenti normativi obsoleti o sbagliati o privo delle informazioni che vi dovrebbero essere riportate. Nonostante le Linee guida n. 3/2019 elaborate dal Comitato Europeo per la protezione dei dati (Edpb) abbiano provveduto da più di due anni un nuovo modello di cartello per segnalare la presenza di un sistema di videosorveglianza in conformità al GDPR, sono infatti ancora diffusissimi vecchi cartelli che fanno riferimento all’abrogato art.13 del Dlgs 196/2003, che spesso non risultano neppure compilati con le indicazioni del titolare del trattamento e delle finalità delle telecamere lasciate negligentemente in bianco. Sul fronte delle imprese, l’Osservatorio di Federprivacy ha invece effettuato una approfondita disamina di tutte le oltre mille sanzioni comminate dall’introduzione del Regolamento europeo, e ben 161 di queste (15,2%) sono direttamente riferite a violazioni commesse attraverso telecamere e impianti di videosorveglianza, per un ammontare complessivo di circa 3,9 milioni di euro che imprese private e pubbliche amministrazioni hanno dovuto sborsare a causa della loro noncuranza delle regole sulla tutela della privacy. Rileva il fatto che ben 130 di tali sanzioni (pari all’80% del totale) sono state elevate negli ultimi due anni, a significare un aumento esponenziale che si registra per le violazioni derivanti dall’uso illecito di telecamere. Cartello Errato Molti cartelli di informativa sulla videosorveglianza riportano ancora i riferimenti normativi della vecchia Legge 675/1996 (Come quello di cui sopra) Nel panorama europeo, lo studio ha inoltre evidenziato che in Spagna viene comminato il maggior numero di sanzioni in materia di videosorveglianza. Dall’entrata in vigore del GDPR, l’autorità per la protezione dei dati spagnola (AEPD) ha infatti adottato ben 82 provvedimenti per questo tipo di infrazioni. E se autorità di paesi come Italia, Austria, Germania, Romania, e Lussemburgo fanno la loro parte, vi sono però diversi altri garanti che evidentemente al momento si concentrano su altre tipologie di violazioni, oppure in quelle nazioni il fenomeno dell’inosservanza delle regole sulla privacy afferenti i sistemi di videosorveglianza è più contenuto rispetto alla nostra realtà. Se imprese e pubbliche amministrazioni risultano spesso non conformi alla normativa in materia di protezione dei dati personali quando si dotano di sistemi di videosorveglianza, a quanto pare le principali cause sono però da rinvenire nelle mani a cui si affidano. Infatti, nella parte dello studio rivolta agli installatori e agli operatori della sicurezza fisica, sono emerse notevoli carenze e mancanza di consapevolezza che spiegano in buona parte i pessimi risultati di cui la maggior parte dei cittadini intervistati si rende conto. Su un campione di 1.127 operatori tra progettisti e installatori che hanno accettato di partecipare al sondaggio dopo aver partecipato a una sessione formativa, il 23% di questi reputano di essere soggetti a un rischio basso in materia di privacy e videosorveglianza, e il 31% pensa che vi sia un rischio medio, mentre sono solo meno della metà (46%) a rendersi conto di avere a che fare con temi complessi che comportano rischi elevati, denotando ancora scarsa sensibilità alle problematiche della protezione dei dati personali, specialmente nelle aree geografiche del sud Italia, dove è addirittura risultato che solo il 3% delle aziende di appartenenza dei professionisti intervistati sono dotate di un Data Protection Officer o di un’altra figura dedicata alle tematiche della privacy, e dalla stessa area geografica sono stati solo il 15% dei professionisti ad avvertire la necessità di ulteriori approfondimenti in un corso di formazione strutturato. Meno della metà (46%) di progettisti e installatori di sistemi di videosorveglianza si pongono in concreto problemi sui rischi in materia di privacy Altro elemento che denota superficialità degli addetti ai lavori della videosorveglianza nell’approccio alla privacy, ha riguardato i temi d’interesse per eventuali approfondimenti, che sono risultati prevalentemente rivolti alla redazione di un cartello di informativa conforme, ai tempi di conservazione delle immagini, e alle misure di sicurezza, mentre praticamente nessuno ha menzionato importanti criticità come la necessità di comprendere come e quando fare una valutazione d’impatto ai sensi dell’art.35 del Regolamento UE, e in quali casi occorra fare una consultazione preventiva presso il Garante ai sensi dell’art.36 per accertare se un trattamento sia lecito o meno. Allo stesso modo, nessuno si è posto problemi legati all’installazione di telecamere intelligenti, al ricorso a tecnologie di intelligenza artificiale, o sui trasferimenti di dati all’estero che, con ormai quasi tutte le telecamere collegate alla rete internet, possono avvenire più o meno consapevolmente da parte del titolare del trattamento, specialmente se chi progetta e installa un impianto di videosorveglianza tralascia di interessarsi al rispetto della privacy. Il rapporto con i risultati completi dello studio saranno presto resi disponibili da Federprivacy ed Ethos Academy, ma il quadro che si è delineato indica chiaramente che la direzione intrapresa non è quella che può favorire un’espansione sostenibile di telecamere sempre più sofisticate che stanno invadendo sempre più la società moderna. Benché i moderni sistemi di videosorveglianza siano utili, e spesso salvifici, nei loro molteplici utilizzi, occorre però evitare che un diritto fondamentale come quello alla privacy venga sacrificato in nome della sicurezza, e il rischio che ciò accada senza una reale giustificazione è concreto, e non perché rispettare le regole sia troppo gravoso, ma piuttosto perché tra gli stessi addetti ai lavori c’è ancora scarsa consapevolezza di quanto quelle regole siano importanti per il buon funzionamento di qualsiasi società civile. di Nicola Bernardi (Sec Solution Magazine N.20 aprile 2022)

Primo PianoGiovedì, 17 Marzo 2022 11:52 L’accesso alla documentazione, previsto dal Gdpr, sia da parte di soggetti autorizzati che di esterni, è un tema raramente approfondito; pertanto, si desidera condividere alcune riflessioni riguardanti specificamente il Registro dei trattamenti e la Valutazione dei rischi. (Nella foto: l’Ing. Monica Perego, docente del Corso di alta formazione ‘Il sistema di gestione della privacy e le attività di audit‘) Il Registro dei trattamenti – Ad avviso dell’autrice, il Registro dei trattamenti (come Titolare) dovrebbe essere un documento condiviso tra gli autorizzati all’interno dell’organizzazione, a meno di casi particolari. Rendendo tali soggetti a conoscenza dei contenuti del documento e permettendo loro di consultarlo, si aumenta la consapevolezza degli stessi, riducendo la probabilità di errori. Se il Registro è ben strutturato, gli autorizzati hanno quindi accesso a varie informazioni: durata del trattamento, modalità di cancellazione/distruzione dei dati, ragioni sociali dei Responsabili designati, ecc. Possono quindi anche segnalare eventuali errori o modifiche (ad esempio la variazione di un Responsabile), in modo da far sì che il documento sia costantemente aggiornato.Ovviamente l’accesso deve avvenire per la versione in vigore, opportunamente datata, mentre le versioni storicizzate devono essere gestite ad accesso limitato, di norma sotto la Responsabilità del Privacy Officer. Quest’ultimo dovrà informare gli Autorizzati dell’emissione di una nuova versione del documento rendendola disponibile, ad esempio sulla intranet aziendale. In ogni caso i contenuti del Registro non devono essere comunicati all’esterno dell’Organizzazione. La Valutazione dei rischi – La Valutazione dei rischi dovrebbe essere un documento con accesso molto più limitato rispetto al Registro. Infatti, poiché illustra le misure di mitigazione in essere e quelle pianificate nel breve/medio termine, di fatto descrive, indirettamente, quali misure mancano, quali sono lacunose o sono ancora in fase di pianificazione. Non va inoltre dimenticato che il documento di norma contiene anche le misure tecniche e quelle organizzative applicate all’interno dell’organizzazione. Un esempio po’ aiutare a comprendere: Per il trattamento X effettuato tramite un software è documentata, come misura di mitigazione, l’accesso regolamentato da password in possesso solo degli autorizzati che ricoprono il ruolo ALFA e BETA. Sulla base di tale informazione, un malintenzionato potrebbe: – dedurre che i dati presenti nel software non sono criptati e questo evidenzia una debolezza– contattare gli autorizzati che ricoprono il ruolo ALFA e BETA attivando tecniche di social engineering per carpire la password o per ricattarli al fine di poter accedere ai dati Inoltre, il malintenzionato, analizzando le minacce descritte dalla Valutazione dei rischi, potrebbe dedurre che alcune non sono state “considerate” o meglio “documentate”. Ciò peraltro non implica necessariamente che non siano state approntate delle misure in relazione a tali minacce. Alla luce di quanto sopra, la Valutazione di rischi dovrebbe essere un documento con un accesso molto limitato, e dovrebbero essere poste in atto ulteriori misure per rendere difficoltosa la consultazione, come ad esempio: – archiviazione del documento in un’area non accessibile dall’esterno– criptazione del documento– suddivisione del documento in più parti, in modo che l’accesso ad una sola di esse non ne permetta la comprensione La problematica assume ancora più rilevanza nel caso in cui l’Organizzazione agisca come Responsabile del trattamento e quindi le misure che pone in capo debbano essere poste a tutela del Titolare. Quest’ultimo potrebbe indicare, nell’ambito dell’atto di designazione, anche il livello di accesso e di protezione della Valutazione dei rischi per la parte dei dati che deve trattare il Responsabile. Considerazioni simili a quelle effettuate per la Valutazione dei rischi possono essere svolte per quanto riguarda il MOP – Modello Organizzativo Privacy che, per quanto non contenga, di norma, elementi vulnerabili come nel caso della Valutazione dei rischi, è opportuno resti riservato. Il caso della Pubblica amministrazione – Per le Pubbliche amministrazioni vi è anche l’esigenza di bilanciare le informazioni contenute nel Registro dei trattamenti e nella Valutazione dei rischi, a fronte delle seguenti normative: – Decreto legislativo 14 marzo 2013, n. 33 – amministrazione trasparente– Legge n. 241/1990 – accesso agli atti La disponibilità/accesso a tali documenti, dovrebbe essere attentamente valutata in quanto sono molte le vulnerabilità a cui l’Amministrazione si espone permettendo la consultazione in rete o l’accesso a seguito di una richiesta (vari esperti hanno peraltro posizioni diverse a riguardo). Riguardo alla normativa sull’amministrazione trasparente, è stata effettuata una ricerca nel sito dell’Anac per verificare quali documenti riguardanti la protezione dei dati sono presenti; risulta presente solo l’elenco: “Banche dati Anac Autorità Nazionale Anticorruzione”. Per quanto riguarda invece il diritto di accesso si rimanda alla definizione di “documento amministrativo”, vedi legge n. 241/1990. L’art. 22, lettera d) e successivamente modificato dalla legge n. 15/2015. Si definisce documento amministrativo “ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, anche interni o non relativi ad uno specifico procedimento, detenuti da una pubblica amministrazione e concernenti attività di pubblico interesse, indipendentemente dalla natura pubblicistica o privatistica della loro disciplina sostanziale”. Il Titolare quindi determinerà, secondo il principio di autotutela, se la Valutazione dei rischi collide con il principio di trasparenza, dato il rischio di utilizzo delle informazioni in modo lesivo degli interessi della Pubblica Amministrazione. Analoga considerazione può essere effettuata per quanto riguarda l’esercizio del diritto di accesso. Conclusioni – Il Titolare del trattamento, in mancanza di indicazioni al riguardo nel GDPR, deve considerare che la conoscenza da parte degli autorizzati di informazioni afferenti alle attività che svolgono aumenta la loro consapevolezza; d’altra parte egli deve tutelare i diritti e le libertà degli interessati, nonché l’ambito professionale ed il segreto industriale, non solo della sua impresa, ma anche di quelle dei suoi clienti nel ruolo di Titolari del trattamento, altrimenti potrebbe anche incorrere in richieste di risarcimento danni oltre ad essere contrattualmente inadempiente

FederprivacyMartedì, 24 Agosto 2021 09:06 Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020 affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676-1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board. La norma CEI EN 62676-1-1 individua tre blocchi funzionali tipici dei sistemi di videosorveglianza, definendone i requisiti minimi di prestazione. Essi sono: – L’ambiente video, finalizzato all’acquisizione dell’immagine, alla sua trasmissione, visualizzazione, analisi e memorizzazione.; – La funzione di gestione del sistema, riferito a tutte quelle attività di collegamento con l’operatore e con altri sistemi, che comprendono, ad esempio, i comandi dell’operatore o le procedure di allarme generate dal sistema. – La funzione di sicurezza del sistema che sovrintende all’integrità dei dati e del sistema, segnala gli eventuali guasti e protegge il sistema di videosorveglianza dalle manomissioni volute e/o involontarie. Un sistema di videosorveglianza osservano i Garanti Europei prima di essere messo in funzione deve essere progettato secondo quanto previsto dall’articolo 25 del regolamento, in maniera tale da implementare misure tecniche e organizzative adeguate di protezione dei dati. (Nella foto: l’Avv. Marco Soffientini, Data Protection Officer di Federprivacy, e docente dei corsi promossi da Federprivacy in materia di videosorveglianza) Il titolare del trattamento dovrà proteggere adeguatamente tutti i componenti di un sistema di videosorveglianza e i dati in tutte le fasi di trattamento, vale a dire durante la conservazione (“data at rest”), la trasmissione (“data in transit”) e l’utilizzo (“data in use”). In tema di misure organizzative, oltre alla eventuale necessità di una valutazione d’impatto sulla protezione dei dati (art.35 Reg. UE 679/2016), nell’elaborare le proprie politiche e procedure di videosorveglianza i titolari del trattamento dovranno definire: – A chi compete la responsabilità della gestione e del funzionamento del sistema di videosorveglianza; – La finalità e l’ambito di applicazione del progetto di videosorveglianza; – Gli utilizzi consentiti e quelli vietati (ad esempio, stabilire se la captazione audio è ammessa o meno); – Le informative brevi e complete da rendere agli interessati che si accingono ad entrare in un’area videosorvegliata; – La durata delle registrazioni video; – Le modalità di conservazione delle videoregistrazioni; – La formazione per gli operatori addetti all’utilizzo del sistema di videosorveglianza; – Le modalità di accesso alle registrazioni video, specificando in quali casi è ammessa; – Le procedure in caso di data breach; – Le procedure da seguire in caso di richieste di accesso alle immagini provenienti da terzi (definendo in quali casi accogliere le richieste e in quali rigettarle); – Le procedure per la manutenzione del sistema di videosorveglianza (aggiornamento telecamere, software, ecc.); Per quanto concerne la sicurezza tecnica, si fa riferimento alla sicurezza fisica di tutti i componenti del sistema, nonché all’integrità dello stesso, vale a dire alla protezione e resilienza in caso di interferenze volontarie e involontarie nel suo normale funzionamento e controllo degli accessi. Inoltre, devono essere garantite la riservatezza (i dati sono accessibili solo a coloro a cui è concesso l’accesso), l’integrità (prevenzione dalla perdita o dalla manipolazione dei dati) e la disponibilità (i dati possono essere consultati ogniqualvolta sia necessario). Le misure da adottare sono sostanzialmente identiche alle misure utilizzate in altri sistemi IT e possono riguardare: – La protezione dell’intera infrastruttura del sistema TVCC (comprese telecamere remote, cablaggio e alimentazione) contro manomissioni fisiche e furti; – La protezione dei canali di trasmissione; – La cifratura dei dati; – L’implementazione di firewall, antivirus o sistemi di rilevamento delle intrusioni contro gli attacchi informatici; – Il rilevamento di guasti di componenti, software e interconnessioni; – L’impiego di strumenti per ripristinare la disponibilità dei dati personali e l’accesso agli stessi in caso di problemi fisici o tecnici. Una corretta implementazione delle misure organizzative e tecniche richiede l’adozione di un regolamento interno sull’utilizzo del sistema di videosorveglianza; un documento che consentirà al titolare del trattamento di dimostrare di aver predisposto misure tecniche e organizzative adeguate in ossequio al principio di responsabilizzazione (accountability). Articolo di Marco Soffientini, docente del “Corso La videosorveglianza con le Linee Guida EDPB 3/2019” e del corso “Corso Specialistico per Privacy Officer nel settore Videosorveglianza”

Federprivacy – Giovedì, 27 Maggio 2021 10:39 Come è noto, per essere in grado di adempiere ai compiti che gli sono attribuiti dall’art.39 del Gdpr, il data Protection officer deve possedere competenze giuridiche, informatiche, e anche organizzative. Tuttavia, anche in presenza di tutte queste skills, non si può dare affatto per scontato che il professionista designato sia effettivamente idoneo a svolgere il ruolo di DPO. (Nella foto: Nicola Bernardi, presidente di Federprivacy) Ovviamente, si tratta delle tre principali competenze che è fondamentale ritrovare nel profilo di un aspirante Responsabile della Protezione dei Dati, ma come un tavolo a tre gambe sta in piedi fino a quando non si verificano imprevisti che fanno venir meno uno dei tre sostegni, così anche il DPO che non possiede ulteriori qualità caratteriali necessarie per affrontare e gestire situazioni di stress potrebbe naufragare alla prima tempesta, anche con gravi ripercussioni per il titolare del trattamento che lo ha nominato. A conferma di come, specialmente nelle organizzazioni strutturate, il DPO debba essere una persona assertiva ( nota di OdisseoPrivacy.com: di persona capace di farsi valere pur nel rispetto del diritto degli altri) e resiliente ( nota di OdisseoPrivacy.com: adattarsi in maniera positiva ad una condizione negativa e traumatica) sotto il profilo psicologico, basti pensare al fatto che l’art.38 del Regolamento europeo richiede che “il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento”, ma che d’altra parte “gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti”. Ciò significa, che il DPO deve quindi sapersi relazionare tanto con dirigenti del top management quanto con il pensionato o la casalinga di turno che intende reclamare il rispetto della propria privacy. Solo un Data Protection Officer che ha la capacità di rimanere lucido e mantenere i nervi saldi davanti a situazioni emotivamente provanti, può affrontare in modo efficace una inattesa ispezione da parte dell’Autorità per la protezione dei dati personali o da parte dei finanzieri del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche, e solo un DPO che ha certe caratteristiche può essere un vero supporto per il titolare del trattamento al verificarsi di scenari tanto imprevisti quanto imprevedibili come quello che si è delineato durante l’emergenza sanitaria da Covid-19, quando tutte quelle che erano state fino ad allora le normali prassi quotidiane della protezione dei dati sono state improvvisamente rimesse in discussione (se non stravolte) con la necessità di fornire risposte immediate a richieste di pareri riguardanti la misurazione della temperatura corporea ai lavoratori, l’utilizzo di termoscanner negli esercizi commerciali, la rilevazione dello stato di positività dei dipendenti, poi successivamente la gestione delle campagne vaccinali in azienda, e tutta una serie di continue questioni da dirimere urgentemente che hanno puntualmente messo sotto pressione il DPO. Tutto questo contesto potenzialmente frenetico, pone pertanto la necessità di verificare attentamente certe caratteristiche caratteriali e professionali, che di fatto costituiscono una quarta gamba del tavolo contribuendo a renderlo più stabile e più robusto, prima di effettuare una nomina del Data Protection Officer, anche relativamente alla sua elasticità mentale e fattiva disponibilità, in quanto né il Garante concorda il giorno e l’ora per effettuare un’ispezione, né il temuto data breach prende appuntamento; anzi gli addetti ai lavori sanno bene come purtroppo certi eventi dannosi accadono inaspettatamente spesso proprio nel week end o nelle ore notturne, se non durante i periodi di ferie, che potrebbero quindi essere infelicemente guastate a chi ricopre questo ruolo chiave previsto dal Gdpr. E se l’art.37 del Regolamento ammette che un gruppo imprenditoriale possa nominare un unico responsabile della protezione dei dati, non allevia certo l’ansia a chi assume tale incarico sapere, come precisa lo stesso articolo, che ciò è possibile solo “a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento”. Per evitare quindi di trovarsi la persona sbagliata nel momento sbagliato nelle varie casistiche che sono state esemplificate in modo non esaustivo, è pertanto fondamentale non basarsi esclusivamente sulle primarie competenze professionali e su quello che viene dichiarato nel curriculum dal candidato, che potrebbe peraltro essere del tutto autoreferenziale, ma approfondire anche con valutazioni ulteriori attraverso test attitudinali, documentazione di referenze pregresse, ripetuti colloqui conoscitivi, ed ogni altro metodo lecito che possa essere utile a determinare se il professionista che si intende nominare come DPO sia davvero quello giusto.