Primo PianoGiovedì, 17 Marzo 2022 11:52 L’accesso alla documentazione, previsto dal Gdpr, sia da parte di soggetti autorizzati che di esterni, è un tema raramente approfondito; pertanto, si desidera condividere alcune riflessioni riguardanti specificamente il Registro dei trattamenti e la Valutazione dei rischi. (Nella foto: l’Ing. Monica Perego, docente del Corso di alta formazione ‘Il sistema di gestione della privacy e le attività di audit‘) Il Registro dei trattamenti – Ad avviso dell’autrice, il Registro dei trattamenti (come Titolare) dovrebbe essere un documento condiviso tra gli autorizzati all’interno dell’organizzazione, a meno di casi particolari. Rendendo tali soggetti a conoscenza dei contenuti del documento e permettendo loro di consultarlo, si aumenta la consapevolezza degli stessi, riducendo la probabilità di errori. Se il Registro è ben strutturato, gli autorizzati hanno quindi accesso a varie informazioni: durata del trattamento, modalità di cancellazione/distruzione dei dati, ragioni sociali dei Responsabili designati, ecc. Possono quindi anche segnalare eventuali errori o modifiche (ad esempio la variazione di un Responsabile), in modo da far sì che il documento sia costantemente aggiornato.Ovviamente l’accesso deve avvenire per la versione in vigore, opportunamente datata, mentre le versioni storicizzate devono essere gestite ad accesso limitato, di norma sotto la Responsabilità del Privacy Officer. Quest’ultimo dovrà informare gli Autorizzati dell’emissione di una nuova versione del documento rendendola disponibile, ad esempio sulla intranet aziendale. In ogni caso i contenuti del Registro non devono essere comunicati all’esterno dell’Organizzazione. La Valutazione dei rischi – La Valutazione dei rischi dovrebbe essere un documento con accesso molto più limitato rispetto al Registro. Infatti, poiché illustra le misure di mitigazione in essere e quelle pianificate nel breve/medio termine, di fatto descrive, indirettamente, quali misure mancano, quali sono lacunose o sono ancora in fase di pianificazione. Non va inoltre dimenticato che il documento di norma contiene anche le misure tecniche e quelle organizzative applicate all’interno dell’organizzazione. Un esempio po’ aiutare a comprendere: Per il trattamento X effettuato tramite un software è documentata, come misura di mitigazione, l’accesso regolamentato da password in possesso solo degli autorizzati che ricoprono il ruolo ALFA e BETA. Sulla base di tale informazione, un malintenzionato potrebbe: – dedurre che i dati presenti nel software non sono criptati e questo evidenzia una debolezza– contattare gli autorizzati che ricoprono il ruolo ALFA e BETA attivando tecniche di social engineering per carpire la password o per ricattarli al fine di poter accedere ai dati Inoltre, il malintenzionato, analizzando le minacce descritte dalla Valutazione dei rischi, potrebbe dedurre che alcune non sono state “considerate” o meglio “documentate”. Ciò peraltro non implica necessariamente che non siano state approntate delle misure in relazione a tali minacce. Alla luce di quanto sopra, la Valutazione di rischi dovrebbe essere un documento con un accesso molto limitato, e dovrebbero essere poste in atto ulteriori misure per rendere difficoltosa la consultazione, come ad esempio: – archiviazione del documento in un’area non accessibile dall’esterno– criptazione del documento– suddivisione del documento in più parti, in modo che l’accesso ad una sola di esse non ne permetta la comprensione La problematica assume ancora più rilevanza nel caso in cui l’Organizzazione agisca come Responsabile del trattamento e quindi le misure che pone in capo debbano essere poste a tutela del Titolare. Quest’ultimo potrebbe indicare, nell’ambito dell’atto di designazione, anche il livello di accesso e di protezione della Valutazione dei rischi per la parte dei dati che deve trattare il Responsabile. Considerazioni simili a quelle effettuate per la Valutazione dei rischi possono essere svolte per quanto riguarda il MOP – Modello Organizzativo Privacy che, per quanto non contenga, di norma, elementi vulnerabili come nel caso della Valutazione dei rischi, è opportuno resti riservato. Il caso della Pubblica amministrazione – Per le Pubbliche amministrazioni vi è anche l’esigenza di bilanciare le informazioni contenute nel Registro dei trattamenti e nella Valutazione dei rischi, a fronte delle seguenti normative: – Decreto legislativo 14 marzo 2013, n. 33 – amministrazione trasparente– Legge n. 241/1990 – accesso agli atti La disponibilità/accesso a tali documenti, dovrebbe essere attentamente valutata in quanto sono molte le vulnerabilità a cui l’Amministrazione si espone permettendo la consultazione in rete o l’accesso a seguito di una richiesta (vari esperti hanno peraltro posizioni diverse a riguardo). Riguardo alla normativa sull’amministrazione trasparente, è stata effettuata una ricerca nel sito dell’Anac per verificare quali documenti riguardanti la protezione dei dati sono presenti; risulta presente solo l’elenco: “Banche dati Anac Autorità Nazionale Anticorruzione”. Per quanto riguarda invece il diritto di accesso si rimanda alla definizione di “documento amministrativo”, vedi legge n. 241/1990. L’art. 22, lettera d) e successivamente modificato dalla legge n. 15/2015. Si definisce documento amministrativo “ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, anche interni o non relativi ad uno specifico procedimento, detenuti da una pubblica amministrazione e concernenti attività di pubblico interesse, indipendentemente dalla natura pubblicistica o privatistica della loro disciplina sostanziale”. Il Titolare quindi determinerà, secondo il principio di autotutela, se la Valutazione dei rischi collide con il principio di trasparenza, dato il rischio di utilizzo delle informazioni in modo lesivo degli interessi della Pubblica Amministrazione. Analoga considerazione può essere effettuata per quanto riguarda l’esercizio del diritto di accesso. Conclusioni – Il Titolare del trattamento, in mancanza di indicazioni al riguardo nel GDPR, deve considerare che la conoscenza da parte degli autorizzati di informazioni afferenti alle attività che svolgono aumenta la loro consapevolezza; d’altra parte egli deve tutelare i diritti e le libertà degli interessati, nonché l’ambito professionale ed il segreto industriale, non solo della sua impresa, ma anche di quelle dei suoi clienti nel ruolo di Titolari del trattamento, altrimenti potrebbe anche incorrere in richieste di risarcimento danni oltre ad essere contrattualmente inadempiente

Primo PianoGiovedì, 10 Febbraio 2022 10:56 Negli ultimi tempi la tecnologia ha fatto davvero passi da gigante ed ormai sta cambiando progressivamente il nostro modo di lavorare, di interagire e quindi di vivere nella nostra società grazie all’avvento di sofisticati dispositivi tecnologici che sfruttano le innumerevoli potenzialità che li contraddistinguono. Indubbiamente negli ultimi tempi il settore dei trasporti è tra i più interessati sul fronte dell’innovazione tecnologica, tant’è vero che si parla sempre di più di trasporto intelligente, obiettivo fondamentale anche dell’agenda digitale europea. (Nella foto: l’Avv. Michele Iaselli, Coordinatore del Comitato Scientifico) Il punto di riferimento principale, dal punto di vista normativo, è rappresentato dalla direttiva 2010/40/UE del Parlamento europeo e del Consiglio, del 7 luglio 2010 che sostiene l’importanza dei sistemi di trasporto intelligente al fine di contribuire ad un sistema di trasporto più pulito, più sicuro e più efficiente. La stessa direttiva fornisce un quadro per l’attuazione coordinata di queste innovative tecnologie di trasporto in tutta l’Unione europea (UE). Essa mira a stabilire servizi ITS interoperabili ed efficienti, lasciando decidere autonomamente i paesi dell’UE su quali sistemi investire. Tra i principali settori di intervento da intendersi come gli obiettivi prioritari per la diffusione e l’utilizzo, in modo coordinato e coerente, di sistemi di trasporto intelligenti sul territorio si annoverano: a) uso ottimale dei dati relativi alle strade, al traffico e alla mobilità;b) continuità dei servizi ITS di gestione del traffico e del trasporto merci;c) applicazioni ITS per la sicurezza stradale e la sicurezza del trasporto;d) collegamento telematico tra veicoli e infrastruttura di trasporto.Nell’ambito di tali settori i sistemi di trasporto intelligenti devono garantire sul territorio:a) la predisposizione di servizi di informazione sulla mobilità multimodale;b) la predisposizione di servizi di informazione sul traffico in tempo reale;c) i dati e le procedure per la comunicazione gratuita agli utenti, ove possibile, di informazioni minime universali sul traffico connesse alla sicurezza stradale;d) la predisposizione armonizzata di un servizio elettronico di chiamata di emergenza (eCall) interoperabile;e) la predisposizione di servizi d’informazione per aree di parcheggio sicure per gli automezzi pesanti e i veicoli commerciali;f) la predisposizione di servizi di prenotazione per aree di parcheggio sicure per gli automezzi pesanti e i veicoli commerciali. Appare evidente che l’introduzione di questi elementi innovativi è perfettamente compatibile, anzi ne rappresenta la logica conseguenza, alle automobili connesse che grazie a tutta una serie di dispositivi come radar, telecamere, sensori di diagnostica e altri strumenti telematici sofisticati sono in grado di dialogare fra loro e con infrastrutture stradali. Tali automobili, quindi, sono caratterizzate dalla connessione e comunicazione con il mondo esterno. Si tratta indubbiamente di un ulteriore passaggio che dovrà portare in futuro alle sempre più pubblicizzate automobili a guida autonoma che, però, in questo momento storico hanno subito un certo rallentamento a livello di sviluppo di mercato per il verificarsi di tutta una serie di incidenti imprevisti (si pensi, ad esempio, all’indicente della Model X della Tesla del 23 marzo 2018 con decesso del conducente oppure all’incidente che sempre nel marzo 2018 ha coinvolto una macchina a guida autonoma di Uber con la morte di un pedone). Previsioni, quindi, estremamente ottimistiche che devono tener conto anche della nascita e dello sviluppo delle c.d. autostrade intelligenti. Difatti, la mobilità sostenibile non è fatta soltanto di automobili: è necessario che anche le infrastrutture a esse collegate siano più tecnologiche ed ecologiche. Per questo l’autostrada del futuro sarà “intelligente”, ma soprattutto integrerà pannelli solari grazie a cui ricaricare i pali della luce (e persino le abitazioni circostanti) e ricaricherà le auto elettriche mentre la percorrono. Altro importante elemento che compone il concetto di autostrada 2.0 o 3.0 è l’utilizzo di sensori e dei dati raccolti dalle varie auto elettriche per una serie di servizi più precisi. Per esempio, il monitoraggio del traffico oppure mappe per la navigazione che siano aggiornate meglio e con maggiore regolarità. Magari utilizzando anche gli algoritmi automatici. Naturalmente in questo specifico campo sarà di grande utilità la tecnologia 5G: una tecnologia che è in grado di assicurare non solo una velocità maggiore nel trasferimento dei dati ed un minor tempo di attesa tra l’invio di un segnale e la sua ricezione, ma anche di gestire molti più dispositivi connessi contemporaneamente. Con questa tecnologia le automobili connesse potranno “dialogare” in maniera ancora più veloce ed efficace con altre automobili, infrastrutture e reti, scambiandosi dati e informazioni ad esempio sulla loro posizione, sulla situazione del traffico e sul meteo. L’introduzione di questi nuovi strumenti creerà inevitabilmente non pochi problemi dal punto di vista sia etico che giuridico poiché normative eccessivamente rigide potrebbero soffocare l’innovazione, ma la mancanza di chiarezza giuridica lascerebbe tutti gli operatori nel buio. Un contesto normativo trasparente è visto come un elemento chiave per lo sviluppo di nuovi dispositivi tecnologici e di sistemi autonomi di mercato, in cui prodotti e servizi possono essere distribuiti senza problemi. C’è il forte timore da parte di molti che una legislazione prematura ed invadente possa ostacolare il progresso scientifico ed annullare potenziali vantaggi o peggio ancora causare inefficienze economiche o altro. Allo stesso tempo, in qualche modo paradossalmente, si ammette che la mancanza di un ambiente giuridico affidabile e sicuro possa ugualmente ostacolare l’innovazione tecnologica. Tale difficile situazione mina sicuramente la certezza del diritto ed induce la gente ad agire in un settore ambiguo in cui i diritti e le responsabilità non sono preventivamente individuabili. Ma l’uso di dispositivi connessi potrebbe far nascere maggiori problemi anche in tema di sicurezza e di privacy. Si pensi, ad esempio, all’utilizzo di questi sistemi per tracciare informazioni inerenti viaggi, itinerari percorsi, abitudini di guida. Il tutto per avere preziosi dati ai fini di una profilazione sempre più mirata e quindi di un controllo sempre più sistematico. Non bisogna mai dimenticare che le nozioni di digital footprint, identità e profilazione degli utenti nell’ambito della comunicazione digitale e telematica, sono concetti tra loro strettamente collegati. In tal caso appare evidente l’importanza dell’approccio tipico della privacy by design già disciplinata dall’art. 25 del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (GDPR). Ovviamente al fine di proteggere tali sistemi da illecite interferenze o attività di trattamento dei dati personali è necessario prevedere adeguate misure tecniche ed organizzative e quindi implementare efficaci sistemi di sicurezza informatica. Alla luce anche di quando disciplinato dal GDPR all’art. 32 diventa necessario: 1. prevedere le minacce ed adattarsi ad esse;2. identificare ed eliminare le vulnerabilità esistenti;3. rilevare ed arrestare cyber attacchi con una velocità ed efficienza che non è sempre possibile ottenere con l’analisi umana.

SpecialiLunedì, 27 Settembre 2021 11:25 Sbagliare la qualifica privacy può costare caro. La sanzione prevista dal Gdpr arriva fino a 10 milioni di euro o, se superiore, fino al 2% del fatturato mondiale annuo delle imprese. Per evitare ciò le imprese e le pubbliche amministrazioni devono districarsi tra le varie qualifiche e mettere sempre nero su bianco in un apposito atto/contratto il risultato di questo approfondimento. La mancata formalizzazione di ruoli è, infatti, autonomamente sanzionata, come è dimostrato dai provvedimenti n. 292, 293 e 294 del 22/7/2021 (si veda l’articolo dell’11 settembre 2021). In generale, le figure privacy sono: titolare del trattamento, contitolare, responsabile esterno. E, se la definizione astratta sembra semplice, tutt’altro che facile è l’individuazione in concreto. Il titolare decide finalità e modalità del trattamento; i contitolari, invece, decidono insieme le predette finalità e modalità; il responsabile del trattamento è un fornitore esterno, che tratta dati per conto del titolare e, quindi, agisce per le finalità e nell’ambito delle modalità decise dal titolare. Queste le definizioni generali, che però vanno calate nella realtà dei rapporti commerciali e istituzionali, che non sono mai così netti e, anzi, vi è quasi sempre promiscuità nelle posizioni e nei compiti. Per agevolare il percorso, non si può fare altro, dunque, che elaborare alcuni criteri indiziari, ciascuno non decisivo, ma utilizzabili in maniera sistematica per optare per una o l’altra qualifica. L’impresa, il professionista, l’associazione e l’ente pubblico potranno rispondere ai quesiti proposti nella pagina e individuare almeno con una valutazione di prevalenza, se orientarsi verso la titolarità oppure verso il rapporto tra titolare e responsabile. In quest’ultimo caso è d’obbligo la redazione di un contratto seguendo lo standard dell’articolo 28 del Gdpr. Se, invece, ci si sposta verso l’asse del rapporto di contitolarità, è necessario sottoscrivere un accordo ai sensi dell’articolo 26 Gdpr. di Antonio Ciccia Messina (Italia Oggi del 27 settembre 2021)

FederprivacyMartedì, 24 Agosto 2021 09:06 Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020 affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676-1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board. La norma CEI EN 62676-1-1 individua tre blocchi funzionali tipici dei sistemi di videosorveglianza, definendone i requisiti minimi di prestazione. Essi sono: – L’ambiente video, finalizzato all’acquisizione dell’immagine, alla sua trasmissione, visualizzazione, analisi e memorizzazione.; – La funzione di gestione del sistema, riferito a tutte quelle attività di collegamento con l’operatore e con altri sistemi, che comprendono, ad esempio, i comandi dell’operatore o le procedure di allarme generate dal sistema. – La funzione di sicurezza del sistema che sovrintende all’integrità dei dati e del sistema, segnala gli eventuali guasti e protegge il sistema di videosorveglianza dalle manomissioni volute e/o involontarie. Un sistema di videosorveglianza osservano i Garanti Europei prima di essere messo in funzione deve essere progettato secondo quanto previsto dall’articolo 25 del regolamento, in maniera tale da implementare misure tecniche e organizzative adeguate di protezione dei dati. (Nella foto: l’Avv. Marco Soffientini, Data Protection Officer di Federprivacy, e docente dei corsi promossi da Federprivacy in materia di videosorveglianza) Il titolare del trattamento dovrà proteggere adeguatamente tutti i componenti di un sistema di videosorveglianza e i dati in tutte le fasi di trattamento, vale a dire durante la conservazione (“data at rest”), la trasmissione (“data in transit”) e l’utilizzo (“data in use”). In tema di misure organizzative, oltre alla eventuale necessità di una valutazione d’impatto sulla protezione dei dati (art.35 Reg. UE 679/2016), nell’elaborare le proprie politiche e procedure di videosorveglianza i titolari del trattamento dovranno definire: – A chi compete la responsabilità della gestione e del funzionamento del sistema di videosorveglianza; – La finalità e l’ambito di applicazione del progetto di videosorveglianza; – Gli utilizzi consentiti e quelli vietati (ad esempio, stabilire se la captazione audio è ammessa o meno); – Le informative brevi e complete da rendere agli interessati che si accingono ad entrare in un’area videosorvegliata; – La durata delle registrazioni video; – Le modalità di conservazione delle videoregistrazioni; – La formazione per gli operatori addetti all’utilizzo del sistema di videosorveglianza; – Le modalità di accesso alle registrazioni video, specificando in quali casi è ammessa; – Le procedure in caso di data breach; – Le procedure da seguire in caso di richieste di accesso alle immagini provenienti da terzi (definendo in quali casi accogliere le richieste e in quali rigettarle); – Le procedure per la manutenzione del sistema di videosorveglianza (aggiornamento telecamere, software, ecc.); Per quanto concerne la sicurezza tecnica, si fa riferimento alla sicurezza fisica di tutti i componenti del sistema, nonché all’integrità dello stesso, vale a dire alla protezione e resilienza in caso di interferenze volontarie e involontarie nel suo normale funzionamento e controllo degli accessi. Inoltre, devono essere garantite la riservatezza (i dati sono accessibili solo a coloro a cui è concesso l’accesso), l’integrità (prevenzione dalla perdita o dalla manipolazione dei dati) e la disponibilità (i dati possono essere consultati ogniqualvolta sia necessario). Le misure da adottare sono sostanzialmente identiche alle misure utilizzate in altri sistemi IT e possono riguardare: – La protezione dell’intera infrastruttura del sistema TVCC (comprese telecamere remote, cablaggio e alimentazione) contro manomissioni fisiche e furti; – La protezione dei canali di trasmissione; – La cifratura dei dati; – L’implementazione di firewall, antivirus o sistemi di rilevamento delle intrusioni contro gli attacchi informatici; – Il rilevamento di guasti di componenti, software e interconnessioni; – L’impiego di strumenti per ripristinare la disponibilità dei dati personali e l’accesso agli stessi in caso di problemi fisici o tecnici. Una corretta implementazione delle misure organizzative e tecniche richiede l’adozione di un regolamento interno sull’utilizzo del sistema di videosorveglianza; un documento che consentirà al titolare del trattamento di dimostrare di aver predisposto misure tecniche e organizzative adeguate in ossequio al principio di responsabilizzazione (accountability). Articolo di Marco Soffientini, docente del “Corso La videosorveglianza con le Linee Guida EDPB 3/2019” e del corso “Corso Specialistico per Privacy Officer nel settore Videosorveglianza”

Federprivacy – Giovedì, 27 Maggio 2021 10:39 Come è noto, per essere in grado di adempiere ai compiti che gli sono attribuiti dall’art.39 del Gdpr, il data Protection officer deve possedere competenze giuridiche, informatiche, e anche organizzative. Tuttavia, anche in presenza di tutte queste skills, non si può dare affatto per scontato che il professionista designato sia effettivamente idoneo a svolgere il ruolo di DPO. (Nella foto: Nicola Bernardi, presidente di Federprivacy) Ovviamente, si tratta delle tre principali competenze che è fondamentale ritrovare nel profilo di un aspirante Responsabile della Protezione dei Dati, ma come un tavolo a tre gambe sta in piedi fino a quando non si verificano imprevisti che fanno venir meno uno dei tre sostegni, così anche il DPO che non possiede ulteriori qualità caratteriali necessarie per affrontare e gestire situazioni di stress potrebbe naufragare alla prima tempesta, anche con gravi ripercussioni per il titolare del trattamento che lo ha nominato. A conferma di come, specialmente nelle organizzazioni strutturate, il DPO debba essere una persona assertiva ( nota di OdisseoPrivacy.com: di persona capace di farsi valere pur nel rispetto del diritto degli altri) e resiliente ( nota di OdisseoPrivacy.com: adattarsi in maniera positiva ad una condizione negativa e traumatica) sotto il profilo psicologico, basti pensare al fatto che l’art.38 del Regolamento europeo richiede che “il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento”, ma che d’altra parte “gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti”. Ciò significa, che il DPO deve quindi sapersi relazionare tanto con dirigenti del top management quanto con il pensionato o la casalinga di turno che intende reclamare il rispetto della propria privacy. Solo un Data Protection Officer che ha la capacità di rimanere lucido e mantenere i nervi saldi davanti a situazioni emotivamente provanti, può affrontare in modo efficace una inattesa ispezione da parte dell’Autorità per la protezione dei dati personali o da parte dei finanzieri del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche, e solo un DPO che ha certe caratteristiche può essere un vero supporto per il titolare del trattamento al verificarsi di scenari tanto imprevisti quanto imprevedibili come quello che si è delineato durante l’emergenza sanitaria da Covid-19, quando tutte quelle che erano state fino ad allora le normali prassi quotidiane della protezione dei dati sono state improvvisamente rimesse in discussione (se non stravolte) con la necessità di fornire risposte immediate a richieste di pareri riguardanti la misurazione della temperatura corporea ai lavoratori, l’utilizzo di termoscanner negli esercizi commerciali, la rilevazione dello stato di positività dei dipendenti, poi successivamente la gestione delle campagne vaccinali in azienda, e tutta una serie di continue questioni da dirimere urgentemente che hanno puntualmente messo sotto pressione il DPO. Tutto questo contesto potenzialmente frenetico, pone pertanto la necessità di verificare attentamente certe caratteristiche caratteriali e professionali, che di fatto costituiscono una quarta gamba del tavolo contribuendo a renderlo più stabile e più robusto, prima di effettuare una nomina del Data Protection Officer, anche relativamente alla sua elasticità mentale e fattiva disponibilità, in quanto né il Garante concorda il giorno e l’ora per effettuare un’ispezione, né il temuto data breach prende appuntamento; anzi gli addetti ai lavori sanno bene come purtroppo certi eventi dannosi accadono inaspettatamente spesso proprio nel week end o nelle ore notturne, se non durante i periodi di ferie, che potrebbero quindi essere infelicemente guastate a chi ricopre questo ruolo chiave previsto dal Gdpr. E se l’art.37 del Regolamento ammette che un gruppo imprenditoriale possa nominare un unico responsabile della protezione dei dati, non allevia certo l’ansia a chi assume tale incarico sapere, come precisa lo stesso articolo, che ciò è possibile solo “a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento”. Per evitare quindi di trovarsi la persona sbagliata nel momento sbagliato nelle varie casistiche che sono state esemplificate in modo non esaustivo, è pertanto fondamentale non basarsi esclusivamente sulle primarie competenze professionali e su quello che viene dichiarato nel curriculum dal candidato, che potrebbe peraltro essere del tutto autoreferenziale, ma approfondire anche con valutazioni ulteriori attraverso test attitudinali, documentazione di referenze pregresse, ripetuti colloqui conoscitivi, ed ogni altro metodo lecito che possa essere utile a determinare se il professionista che si intende nominare come DPO sia davvero quello giusto.

Privacy & SocietàMartedì, 08 Febbraio 2022 19:06 Privacy digitale e dati personali a rischio con le app e siti di dating online in occasione del giorno di San Valentino. A segnalarlo, è il noto produttore di software antivirus Kaspersky, che fornisce anche alcuni consigli per proteggersi. Secondo un recente studio della stessa Kaspersky, il 67% degli italiani ha paura di subire stalking da persone conosciute online, mentre il 14% è stato vittima di doxing. Ad oggi, molte di queste app richiedono agli utenti di registrarsi attraverso i loro profilo Facebook o l’account di un altro social network, modalità che automaticamente compila i nuovi campi nel profilo della app di dating online con foto e informazioni personali come il luogo di lavoro o di studio, ma questi dati che sono memorizzati sul proprio profilo social consentono ad un potenziale doxer di trovare utenti online e scoprire informazioni sul loro conto. Inoltre, i ricercatori di Kaspersky hanno notato che le attività di scamming si intensificano proprio a ridosso del 14 febbraio, giorno di San Valentino, e quest’anno non sembra essere un’eccezione. Oltre ad imitare le popolari app di dating per raccogliere informazioni personali sulle vittime, i cybercriminali hanno iniziato a diffondere e-mail fingendosi donne alla ricerca di un partner. La truffa prevede l’invio di una mail contenente un link diretto ad una pagina di phishing che imita un sito web di incontri e chiede alla vittima di completare un form indicando le proprie preferenze. Infine, viene chiesto all’utente di inserire le proprie credenziali bancarie. Superfluo dire che alla fine la vittima perde dati, soldi e la possibilità di conoscere nuove persone. Per contrastare i rischi che si corrono utilizzando le app di dating online, compresi quelli del phishing e del furto d’identità, Kaspersky ha stilato alcuni consigli, tra cui quello di non collegare il proprio account Instagram o di altri social al profilo dell’app di dating, non condividere il proprio numero di cellulare o altri contatti di messaggistica, fare attenzione se in fase di registrazione viene chiesto di scaricare e installare un’applicazione, visitare un sito web, diffidare dai bot, e se possibile modificare le impostazioni delle app per rendere visibili i dati sensibili solo alle persone con cui si fa “match”, e così da limitare l’accesso ad un numero ristretto di persone e riducendo le probabilità che i dati del profilo finiscano nelle mani sbagliate.

Il punto di vistaSabato, 25 Settembre 2021 08:43 Durante il periodo più acuto della pandemia e ancora in questi giorni si è sviluppato nel nostro Paese e nel mondo un ampio e acceso dibattito sulla possibilità di utilizzare nelle fasi post-lockdown delle app di tracciamento cioè sistemi di rete che possono identificare i contatti con possibili portatori del virus. Al di là delle problematiche giuridiche relative alla procedura di attuazione le questioni più spinose attengono al merito e si ricollegano al grande tema della tutela della privacy. Senza dubbio un diritto fondamentale dell’individuo e un pilastro del pensiero liberale che segna il discrimine tra i sistemi democratici e quelli dittatoriali, ma questo diritto è già da tempo in grande attacco (o, quantomeno, in grande evoluzione) massacrato dalla rete e dai big data. Facciamo un po’ di storia. Per decenni uno dei principali principi ispiratori delle leggi a tutela della privacy è stato lasciare il controllo ai singoli individui consentendo loro di decidere se, come e da parte di chi potevano essere processate le proprie informazioni personali. Nella prima fase dell’era di Internet questo encomiabile ideale si è trasformato nel meccanismo burocratico del “consenso informato”. Nell’era dei social e dei “big data” il consenso informato non regge più sia per l’enormità degli individui coinvolti (quasi 4 miliardi e 400 milioni connessi alla rete, dati del 2019; di cui circa un miliardo e 800 milioni solo attraverso Facebook, dati del 2021) sia perché il grosso del valore dei dati raccolti dalle piattaforme sta in utilizzi secondari che, spesso, non si potevano nemmeno immaginare al momento della raccolta dati. E’ quindi chiaro che, in questo scenario, la tutela della privacy si deve necessariamente spostare sempre più dal consenso individuale espresso nel momento della raccolta alla responsabilizzazione degli utilizzatori dei dati per quello che fanno. E che, deve essere ben chiaro, hanno sempre saputo quello che facevano (nonostante quello che Mark Zuckerberg va dicendo e scrivendo da tempo). Al riguardo, voglio ricordare le parole pronunciate qualche anno fa (nel giugno 2015, quando il tema del furto dei dati via social non era nemmeno alle viste) da Tim Cook già allora ceo di Apple (e già allora uno degli uomini più influenti al mondo) per mettere in guardia i propri clienti – ma in realtà tutti i navigatori del web – sui rischi crescenti per la loro privacy. (Nella foto: Mauro Masi, Presidente di Consap, delegato italiano alla Proprietà intellettuale) Cook, senza fare alcun nome specifico, ebbe da dire con molta chiarezza: «attenzione, alcune delle società più importanti e di successo hanno costruito il loro business cullando i clienti con false rassicurazioni sulle informazioni personali e… un giorno o l’altro i clienti le vedranno per quello che sono realmente, sarà un impatto molto duro». Quindi si può (anzi, si deve) approfondire ogni aspetto delle possibili app di tracciamento senza però dimenticare che il mondo in cui vivevamo anche prima della pandemia ha già profondamente (e, forse, irreversibilmente) cambiato il concetto di privacy individuale. di Mauro Masi (Italia Oggi del 25 settembre 2021)