Si parla sempre di più del cosiddetto GDPR (General Data Protection Regulation) cioè del nuovo Regolamento europeo in materia di protezione dei dati personali, n. 679/2016, applicabile dal 25 maggio 2018.
Poco si dice, però, sul nuovo approccio alla sicurezza che viene sostanzialmente ribaltato. Il nuovo regolamento non prescrive le misure da adottare, dettandone l’elenco. Al contrario, lascia al titolare del trattamento la valutazione dei rischi, del valore dei dati, della loro criticità e la scelta delle misure di sicurezza da adottare.
Scelta che poi va sottoposta a continuo monitoraggio.
Occorre, dunque, effettuare un’analisi dei flussi informativi e una valutazione dei rischi che incombono su di essi, per decidere poi quali misure adottare.
Dunque, analisi, scelta, proceduralizzazione, implementazione, monitoraggio e presidio.
Non istruzioni dettate dalla norma, ma autovalutazione e gestione. E ovviamente documentazione precisa delle scelte, motivate, e del processo.
Un approccio nuovo basato sulla accountability, che richiede necessariamente competenze integrate: tecnologiche, organizzative e giuridiche.
Una falla del sistema di sicurezza avrebbe esposto al pubblico l’identità di oltre 1000 lavoratori afferenti a diversi dipartimenti della compagnia californiana, tra questi anche un moderatore che era intervenuto su post di sospetti terroristi e che ora teme per la sua incolumità.
Com’è noto, la policy di Facebook prevede che i moderatori controllino ed eventualmente rimuovano i contenuti sessualmente espliciti, o quelli che incitano all’odio, alla violenza o che contengono propaganda terroristica. La procedura prevede che i contenuti vengano rimossi in modo anonimo, senza un confronto con il moderatore: l’utente i cui contenuti vengono rimossi riceve solamente una comunicazione standard da parte del social network.
Purtroppo questo meccanismo si è recentemente inceppato. Il Guardian ha recentemente reso noto che un bug nel software ha esposto al pubblico i profili personali dei moderatori, i cui nomi sono apparsi come notifiche nell’elenco delle attività dei Gruppi di Facebook che ricevevano moderazioni, tra cui diversi gruppi filoterroristici.
Degli oltre 1000 impiegati coinvolti, 40 lavorano nell’unità anti-terrorismo di Facebook con base a Dublino. Tra questi sembra che in particolare 6 moderatori siano stati individuati da Facebook stessa come ad alto rischio, in quanto il loro profilo è stato visitato da potenziali terroristi. Uno dei moderatori, un ventenne di origine irachena rifugiato in Irlanda da bambino e con una storia familiare di persecuzioni politiche, ha dovuto licenziarsi e lasciare il Paese per nascondersi da 7 simpatizzanti terroristi dell’IS che aveva provveduto a bannare dal social network nell’ambito del suo lavoro.
Il lavoro dei “community operations analysts”, i moderatori di Facebook, è considerato ad alto rischio di burn out per via dell’impatto giornaliero con contenuti di violenza inaudita, basti pensare che su Facebook vengono pubblicati live-stream e video di suicidi, omicidi, assalti sessuali ecc.. Generalmente i moderatori sono giovani e il loro salario è tipicamente basso (13 euro all’ora), anche perché non sono dipendenti di Facebook ma vengono “somministrati” da un’agenzia di outsourcing, la Cpl Recruitement. Lo stesso Guardian, aveva denunciato l’impatto psicologico di questo lavoro in un articolo di qualche mese fa.
Facebook ha confermato il security breach, avvenuto negli ultimi mesi del 2016, e ha reso noto che ha già messo in atto migliorie tecniche volte ad evitare che questi incidenti possano ripetersi.
Il primo allarme riguardo ad una possibile falla di sicurezza era stato scoperto dai moderatori stessi, insospettiti dall’aver ricevuto richieste da amicizia da profili affiliati ai gruppi terroristici su cui stavano lavorando. Anche in seguito alla scoperta del bug da parte dei programmatori, la falla è rimasta scoperta per altre due settimane. In totale, i nomi dei moderatori sono rimasti visibili per oltre un mese.
Nel tentativo di compensare, Facebook ha offerto ai sei moderatori esposti a rischio, l’installazione gratuita di sistemi di sicurezza nelle loro case e il trasporto controllato tra casa e lavoro. Cpl Recruitment ha inoltre offerto ai suoi lavoratori assistenza psicologica.
Nel giugno 2017 il moderatore iracheno ha presentato un esposto contro Facebook e Cpl Recruitment presso l’Injury Board di Dublino, chiedendo un risarcimento per danni morali.
La falla nella sicurezza di Facebook e le sue possibili conseguenze riporta in primo piano il tema della valutazione dei rischi da parte del titolare del trattamento dei dati, sottolineata da Giusella Finocchiaro nel post di questo blog disponibile cliccando QUI.
Gli stravolgimenti che i social network hanno portato sulla scena culturale e sociale hanno ripercussioni nel percorso di crescita di giovani e minorenni. Si tratta di cambiamenti epocali, che non possono non avere un’eco immediata sugli strumenti con cui raccontiamo il nostro mondo: le narrazioni di ogni genere, e tra queste, in particolare, i film.
Per questo il Biografilm Festival ha dedicato un ciclo di visioni ed incontri al tema delle “Vite Connesse”. Quest’anno il ciclo è al suo terzo capitolo, un’evento che presenta tre proiezioni ed incontri dedicati al tema della rivoluzione digitale. Tra queste segnaliamo l’incontro “Identità e Consapevolezza”, voluto e coordinato da Giusella Finocchiaro, che ha invitato ad intervenire su questo tema Giovanni Buttarelli, Garante europeo della protezione dei dati, Roberto Verlato, medico psichiatra, Michele Colajanni, docente di ingegneria informatica all’Università degli studi di Modena e Reggio Emilia, Maria Grazia Mattei, esperta di cultura e comunicazione digitale.
L’evento si terrà il 15 giugno alle ore 16:30 presso l’Oratorio di San Filippo Neri, via Manzoni 5, Bologna.
Il ciclo prevede anche la visione di tre film Tokyo Idols di Kyoko Miyake, #Uploading_holocaust di Sagi Bornstein, Udi Nir e Children Online di Katerina Hager.
Le proiezioni e gli incontri sono organizzati da Biografilm Festival con il supporto della Fondazione del Monte di Bologna e Ravenna. Per maggiori informazioni si rimanda al sito di Biografilm Festival.
L’Osservatorio della Fatturazione Elettronica & eCommerce B2b del Politecnico di Milano organizza l’evento “Digital b2b: i fondamenti dell’Italia digitale”.
I modelli e gli strumenti per implementare un percorso di Trasformazione Digitale nel B2b sono oggi ampiamente disponibili, anche grazie agli sviluppi tecnologici – più o meno – recenti. Digitalizzare i processi B2b vuol dire certamente sfruttare le opportunità offerte dal Digitale, ma non solo: implica anche essere e sentirsi parte di un ecosistema significativamente più esteso rispetto alla propria organizzazione – la Supply Chain – da cui dipendono sopravvivenza e successo delle singole imprese.
È proprio questa prospettiva di filiera a non sembrare particolarmente diffusa tra le imprese italiane. Eppure, realizzare una Supply Chain digitale è possibile e siamo sempre più convinti sia anche la chiave di volta per far crescere la competitività delle singole imprese e, ancor più, dell’intero tessuto economico.
È il momento, quindi, di andare oltre una digitalizzazione a “silos” – per singoli progetti – e a “monadi” – per singole imprese – e concentrarsi sulla creazione di un vero e proprio ecosistema integrato digitale: “Digital B2b”, per gettare solide fondamenta di una Trasformazione Digitale del nostro Paese.
I risultati della Ricerca saranno discussi insieme a ospiti di rilievo provenienti dal mondo aziendale e con il contributo di esperti, tra cui Giusella Finocchiaro e Luigi Casero (Viceministro, Ministero dell’Economia e delle Finanze).
L’evento si terrà il 13 giugno 2017, dalle 09:00 alle 13:00 presso l’Aula Carassa-Dadda, edificio BL.28, via Lambruschini 4, campus Bovisa – 20156 Milano
Informazioni ed iscrizioni sono disponibili QUI.
Segnaliamo che il 3 giugno 2017 è stata pubblicata in Gazzetta Ufficiale la legge 29 maggio 2017, n. 71 che contiene disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo.
La legge si pone l’obiettivo di contrastare il cyberbullismo nella sua accezione più ampia, che comprende qualunque forma di pressione, aggressione, molestia, ricatto, ingiuria, denigrazione, diffamazione, furto d’identità, alterazione, acquisizione illecita, manipolazione, trattamento illecito di dati personali in danno di minorenni, realizzata per via telematica, nonché la diffusione di contenuti aventi ad oggetto anche componenti della famiglia del minore il cui scopo intenzionale e predominante sia quello di isolare un minore o un gruppo di minori ponendo in atto un serio abuso, un attacco dannoso, o la loro messa in ridicolo.
La legge intende contrastare il fenomeno in tutte le sue manifestazioni, con azioni a carattere preventivo e con una strategia di attenzione, tutela ed educazione nei confronti dei minori coinvolti, sia nella posizione di vittime sia in quella di responsabili di illeciti, assicurando l’attuazione degli interventi senza distinzione di età nell’ambito delle istituzioni scolastiche.
Il provvedimento entrerà in vigore il 18/06/2017.
L’Autorità Antitrust, l’Autorità per le Garanzie e nelle Comunicazioni e l’Autorità Garante per la protezione dei dati personali hanno avviato, in data 30 maggio 2017, un’indagine conoscitiva congiunta riguardante l’individuazione di eventuali criticità connesse all’uso dei cosiddetti big data e la definizione di un quadro di regole in grado di promuovere e tutelare la protezione dei dati personali, la concorrenza dei mercati dell’economia digitale, la tutela del consumatore, nonché i profili di promozione del pluralismo nell’ecosistema digitale.
Li chiamano Big data e, come suggerisce il nome, si tratta di una gigantesca raccolta di dati così estesa in termini di volume, velocità e varietà da richiedere tecnologie e metodi analitici specifici per l’estrazione di valore. Sono informazioni variegate che possono provenire da fonti eterogenee, non soltanto database, ma anche dati non strutturati, come immagini, email, coordinate GPS, informazioni prese dai social network.La mole di dati di cui si parla è dell’ordine degli Zettabyte, ovvero miliardi di Terabyte. Il loro trattamento richiede una potenza di calcolo parallelo e massivo con strumenti dedicati eseguiti su una moltitudine di server che lavorano in contemporanea.
I risultati delle analisi di big data hanno un alto valore economico e rappresentano un notevole patrimonio informativo. La raccolta delle informazioni e la loro gestione rivestono un ruolo strategico per le imprese, in particolare per le piattaforme online che fornendo servizi gratuiti ricorrono sempre più spesso alle informazioni a carattere personale con l’obiettivo di creare nuove forme di valore.
L’utilizzo di queste informazioni comporta tuttavia rischi per la tutela della riservatezza delle persone anche nel caso la raccolta non comprenda dati personali dal momento che, grazie alle nuove tecnologie e alle tecniche di analisi, risulta possibile “re-identificare” un individuo attraverso l’elaborazione ed interconnessione di informazioni apparentemente anonime. La potenzialità dei big data può quindi tradursi in profilazioni sempre più puntuali ed analitiche, con il rischio di nuove forme di discriminazione per le persone e, più in generale, di possibili restrizioni delle libertà.
Dato il significativo e crescente ruolo svolto dai big data sulla concorrenza dei mercati e sul pluralismo dell’informazione, le Autorità intendono analizzare se, e al ricorrere di quali condizioni, i big data possano tradursi in barriere all’entrata nei mercati o favorire comportamenti restrittivi della concorrenza tali da ostacolare lo sviluppo e il progresso tecnologico nonché ledere il diritto alla protezione dei dati delle persone coinvolte. L’analisi si concentrerà sull’impatto delle piattaforme e dei relativi algoritmi sulle dinamiche competitive nei mercati digitali, sulla tutela della privacy e della capacità di scelta dei consumatori e sulla promozione del pluralismo informativo. Ciò anche al fine di verificare gli effetti sull’ecosistema digitale dell’aggregazione di informazioni e dell’accessibilità ai big data ottenuti attraverso forme non negoziate di profilazione dell’utenza.
La delibera AGCM dell’avvio dell’indagine è consultabile QUI.
Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 22 maggio 2017 ha pubblicato un’analisi di Giusella Finocchiaro sulle implicazioni giuridiche correlate al fenomeno Blue Whale.
Le recenti notizie di suicidi di adolescenti indotti via Internet con il gioco Blue Whale sollevano ancora una volta il problema della responsabilità giuridica.
Chi è il responsabile? In questo caso, anche penalmente? Certamente chi è l’autore del reato, ma questi è spesso anonimo e difficilmente individuabile. Oltre a questo, anche il social network che ha diffuso la comunicazione? A differenza dell’autore del reato, infatti, i social network, così come i gestori del sito e di blog, sono più facilmente individuabili. Il tema della responsabilità del provider fu affrontato già alla fine degli anni ‘90, quando l’Unione Europea ha elaborato la direttiva sul commercio elettronico, poi approvata nel 2000. In quella direttiva fu affermato il principio in base al quale il provider non ha obbligo di controllo e sorveglianza preventivi. Allora come oggi gli elementi a favore della responsabilità del provider (ovviamente ulteriore, rispetto a quella dell’autore dell’illecito) erano: individuabilità e solvibilità del soggetto, possibilità per questi di effettuare un controllo. Dall’altro lato, gli argomenti contro erano: la difficoltà tecnica di effettuare un controllo preventivo , il condizionamento esercitato dal controllo preventivo (ad esempio sull’espressione di un’opinione libera) , il costo dell’attività di controllo.
Mentre è evidente che il provider o il social network siano nella migliore posizione per effettuare un controllo preventivo, meno evidenti sono i costi del controllo, sia sotto un profilo economico che sotto un profilo sociale. Il controllo, infatti, richiede risorse economiche e tecnologiche, mentre se esercitato da un soggetto economico quale il provider potrebbe portare ad una forma di censura privata. Si giunse quindi all’affermazione dell’assenza dell’obbligo di sorveglianza e controllo preventivi. In giurisprudenza si è affermata, talvolta, la responsabilità del gestore del sito o del provider per mancata collaborazione con l’autorità giudiziaria o per mancata rimozione del contenuto lesivo, quando richiesto. In tali casi il gestore o il provider potrebbero, secondo le circostanze, essere ritenuti concorrenti nell’illecito.
In altri casi i giudici hanno cercato di costruire una responsabilità per altra via: per esempio, attraverso la legge sulla protezione dei dati personali o attraverso la legge sul diritto d’autore. Così per esempio el caso di Google- Vividown. Secondo la recente legge sul cyberbullismo i gestori di piattaforme virtuali come i social network e, in generale, tutti i fornitori di contenuti du Internet possono essere destinatari di richieste di oscuramento o rimozione di contenuti lesivi.Oggi dunque il social network non è responsabile, salvo letture molto recenti della giurisprudenza come nel caso Cantone, che hanno portato il Tribunale di Napoli (3 novembre 2016) a stabilire la responsabilità del provider che ha l’obbligo di rimuovere i contenuti (nello specifico link a siti di terze parti pubblicati da utenti del social network) semplicemente su richiesta di un utente e senza attendere l’ordine di un’autorità giudiziaria.
Questo modello è attualmente in discussione e alcuni richiedono di configurare la responsabilità del provider e di eliminare l’anonimato.
Il problema è, come sempre, chi debba dettare le regole, e anche il legislatore europeo ha un campo di azione limitato. Come per il fenomeno delle fake news, i grandi operatori propongono un sistema di autoregolamentazione. Ma ovviamente, mai come in questo caso, trattandosi di un fenomeno in corso di stabilizzazione, dettare le regole significa esercitare il potere.
Nella guida de Il Sole 24 Ore “Tutto pratiche online - Fisco, certificati, permessi e multe” uscita in edicola e online mercoledì 24 maggio 2017 si passano in rassegna le più rilevanti opportunità in fatto di documenti che possono viaggiare online.
Nell’inserto il capitolo 2, “Diritti e doveri di utenti e PA”, è a cura dalla Prof. Giusella Finocchiaro e dai suoi collaboratori.
Ecco, in sintesi, gli argomenti trattati negli articoli.
- “Non serve la motivazione per accedere ai dati della PA” di Giusella Finocchiaro e Laura Greco
- “Trattamento dei dati personali, interessati sempre da informare” di Giusella Finocchiaro e Matilde Ratti
- “Con il domicilio digitale le notifiche arrivano via Pec” di Giusella Finocchiaro e Alessandro Candini
La Camera dei deputati ha approvato in via definitiva – senza ulteriori modifiche – la proposta di legge A.C. 3139-B, che detta disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo.
Il provvedimento introduce misure di carattere educativo e formativo, allo scopo di favorire una maggior consapevolezza tra i giovani del disvalore di comportamenti persecutori che, generando spesso isolamento ed emarginazione, possono portare a conseguenze anche molto gravi su vittime in situazione di particolare fragilità.
In particolare la disposizione prevede che i minorenni vittime di cyber-bullismo (e chi esercita la responsabilità genitoriale nei loro riguardi) possano rivolgersi al gestore del sito Internet o del social media o, comunque, al titolare del trattamento per ottenere provvedimenti inibitori e prescrittivi a loro tutela (oscuramento, rimozione, blocco di qualsiasi altro dato personale del minore diffuso su Internet, con conservazione dei dati originali). Dal canto suo, il titolare del trattamento o il gestore del sito o del social media deve comunicare, entro 24 ore dall’istanza, di avere assunto l’incarico e deve provvedere sulla richiesta nelle successive 48 ore. In caso contrario l’interessato può rivolgere analoga richiesta, mediante segnalazione o reclamo, al Garante per la protezione dei dati personali che deve provvedere, in base alla normativa vigente, entro le successive 48 ore;
Il provvedimento istituisce inoltre un tavolo tecnico per la prevenzione ed il contrasto del cyberbullismo e prevede l’adozione, da parte del MIUR, sentito il Ministero della giustizia, di apposite linee di orientamento – da aggiornare ogni due anni – che dovranno indicare una specifica formazione del personale scolastico, la promozione di un ruolo attivo degli studenti e la previsione di misure di sostegno e rieducazione dei minori coinvolti;
È prevista la designazione, in ogni istituto scolastico, di un docente referente per le iniziative contro il cyberbullismo che dovrà collaborare con le Forze di polizia, e con le associazioni e con i centri di aggregazione giovanile presenti sul territorio.
In caso di episodi di cyberbullismo in ambito scolastico, si prevede inoltre l’obbligo da parte del dirigente responsabile dell’istituto di informare tempestivamente i genitori (o i tutori) dei minori coinvolti e di attivare adeguate azioni educative.
Come già avviene per il reato di stalking, anche sul cyberbullismo il provvedimento applica la disciplina sull’ammonimento del questore: fino a quando non sia stata proposta querela o presentata denuncia per i reati di ingiuria, diffamazione, minaccia o trattamento illecito di dati personali commessi online da minorenni ultraquattordicenni nei confronti di altro minorenne, il questore – assunte se necessario informazioni dagli organi investigativi e sentite le persone informate dei fatti – potrà convocare il minore responsabile ammonendolo oralmente ed invitandolo a tenere una condotta conforme alla legge.
La proposta di legge contiene inoltre di disposizioni per il finanziamento di progetti e la promozione dell’uso consapevole di internet.
Il provvedimento era stato già approvato dal Senato, in prima lettura, il 20 maggio 2015, poi modificato dalla Camera il 20 settembre 2016 e, quindi, nuovamente approvato dal Senato, con modificazioni, il 31 gennaio 2017.
Le modifiche apportate nell’ultimo passaggio al Senato hanno dato una nuova impostazione all’intervento normativo basata esclusivamente su strumenti preventivi di carattere educativo, nei confronti dei minori (vittime e autori del bullismo sul web) da attuare in ambito scolastico. Ciò in contrasto rispetto all’impostazione dell’ultimo testo-Camera che agli interventi educativi affiancava anche strumenti di natura penale. Inoltre, il testo trasmesso dal Senato si riferisce a prevenzione e contrasto del solo cyberbullismo, risultando soppresso ogni riferimento al bullismo.
-
Dal 2001 specializzato in diritto di Internet e dell'Informatica
-
Tutti i contenuti di questo blog sono sottoposti ad una licenza Creative Commons
