Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on settembre 14, 2015

Professione forense, data breach

(No comments)

In relazione ai fatti della vicenda Hacking team, azienda milanese leader globale nello spionaggio digitale al servizio di polizia ed enti governativi, il Garante ha ribadito la propria preoccupazione sul tema dell’illegittimità degli elementi di prova ottenuti con tecniche invasive atipiche, come le sofisticate intercettazioni informatiche.

A riguardo, vengono portate all’attenzione recenti pronunce della Cassazione italiana e del Tribunale costituzionale del Portogallo che hanno ridefinito l’equilibrio tra libertà e sicurezza, confermando in due diverse sentenze l’importanza delle garanzie alla protezione dei dati personali nella società digitale

Il Garante ha citato il Tribunale Costituzionale portoghese che il 27 agosto ha dichiarato incostituzionale la parte della legge anti-terrorismo che consentiva che gli organi di intelligence acquisissero tabulati telefonici e telematici in base a una mera autorizzazione giudiziale. È stata così ribadita la necessità di garanzie maggiori per la tutela dei cittadini. Il diritto all’intangibilità della sfera privata può essere limitato, ma solo quando strettamente necessario, per esigenze investigative effettivamente accertate da parte di un organo terzo e con idonee garanzie

La Cassazione italiana il 26 giugno scorso ha invece dichiarato illegittime le intercettazioni ambientali realizzate mediante immissione di virus informatici in uno smartphone, capaci di controllare la videocamera del telefono. Si tratta di intercettazioni estremamente pervasive, in violazione di costituzione e codice, perché prive di un limite e di un riscontro effettivo. La vicenda HT, osserva il Garante, ha dimostrato come l’attività di questi vari strumenti investigativi possa inoltre svolgersi senza che ne rimanga traccia e permetta talvolta anche l’alterazione dei dati acquisiti. In tali condizioni salterebbero tutte le garanzie stabilite del codice di rito, oltre che la possibilità per l’indagato di contestare la veridicità degli elementi di prova raccolti.

In proposito, il Garante ha infine sottolineato l’atto di saggezza che ha condotto allo stralcio della norma del decreto-legge anti-terrorismo del febbraio scorso, che avrebbe legittimato le intercettazioni da remoto, in assenza di garanzie adeguate, alterando in modo significativo e ingiustificato il rapporto tra libertà e sicurezza.

Il Garante per la privacy ha espresso parere favorevole sullo schema di decreto del Presidente del Consiglio dei ministri che consentirà a Regioni e Province autonome di dare il via al Fascicolo sanitario elettronico, la cartella digitale che raccoglie i dati e i documenti digitali relativi alla storia clinica e sanitaria dei pazienti.

Lo schema di decreto approvato prevede che il paziente, una volta informato chiaramente, possa decidere con maggiore consapevolezza se dare il consenso a che i propri dati personali vengano aggregati e conservati nel  Fse. Diversamente  il fascicolo rimarrà vuoto e quindi non accessibile, né per finalità di cura, né per finalità di ricerca o di programmazione sanitaria e monitoraggio. Nel caso il paziente acconsenta al trattamento dei dati potrà decidere se dare il consenso solo per finalità di monitoraggio, programmazione e ricerca, con le dovute garanzie di anonimato, o se autorizzarlo anche per finalità di cura.

Anche senza autorizzazione, ha voluto sottolineare il Garante, al paziente non sarà preclusa la possibilità di aderire alle prestazioni del servizio sanitario nazionale.

Il paziente avrà inoltre la possibilità di specificare se far inserire nel Fse alcune informazioni di particolare delicatezza (sieropositività, interruzione volontaria di gravidanza, violenza sessuale, pedofilia, uso di sostanze stupefacenti, parto in anonimato).

Gli accessi al Fse da parte degli operatori del Ssn dovranno essere tracciabili e la consultazione del Fse dovrà essere limitata al personale sanitario che abbia in cura effettivamente il paziente, e solo per il tempo necessario. Per scongiurare il rischio di accessi abusivi, lo schema è stato integrato prevedendo l’obbligo per il titolare del trattamento di avvisare immediatamente il Garante nel caso in cui i dati trattati nell’ambito del Fse subiscano violazioni.

Lo schema di decreto individua anche i primi contenuti da attivare a livello nazionale: i dati e i documenti da inserire nel fascicolo elettronico; le responsabilità e i compiti dei soggetti coinvolti; le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali; le modalità e i livelli diversificati di accesso al fascicolo; i criteri di interoperabilità, i contenuti informativi e le codifiche del profilo sanitario sintetico e del referto di laboratorio.

Il parere del Garante segue il provvedimento generale sullo stesso argomento che nel 2009 l’Autorità aveva emesso in attesa della normativa adeguata. Il testo dello schema di decreto odierno è stato elaborato da un tavolo di lavoro del Ministero della salute cui ha partecipato anche l’Ufficio del Garante.

Un recente provvedimento dell’Autorità Garante per la protezione dei dati personali ha autorizzato l’uso in ambito bancario di un servizio di sottoscrizione su tablet ai fini dell’autenticazione del cliente e del successivo perfezionamento di operazioni finanziarie.

Il sistema oggetto della richiesta di verifica preliminare all’Autorità è complesso, scisso in diverse fasi e vede coinvolti diversi soggetti.

La tecnologia utilizzata è in grado di rilevare le caratteristiche della firma apposta dai clienti, anche a distanza, attraverso l’analisi di alcuni parametri desumibili dalla sottoscrizione apposta, quali velocità del gesto, pressione, accelerazione, inclinazione, ecc.

Il sistema è destinato ad essere utilizzato dai promotori finanziari per l’autenticazione del cliente e per successive operazioni di sottoscrizione documenti. Due le fasi del processo: la rilevazione dello specimen di firma da utilizzare come strumento di “raffronto”, a garanzia del cliente, e la sottoscrizione di documenti con firma digitale.

Come si legge nel provvedimento, lo specimen, insieme ai dati identificativi del cliente, viene trasmesso dalla banca in modalità cifrata e attraverso canali sicuri al certificatore, che convalida la richiesta ed emette il certificato digitale associato al richiedente. Tutte le successive sottoscrizioni vengono, quindi, trasmesse in modalità cifrata al server del certificatore, che ne verifica la corrispondenza con lo specimen di firma, accertando che il numero seriale del tablet sia effettivamente tra quelli censiti.

Sotto questo profilo, il sistema consentirebbe di ridurre il rischio di frodi, in particolare quelle legate al furto di identità, di contenzioso rispetto all’eventuale disconoscimento della firma, nonché di snellire e velocizzare le operazioni effettuate dai promotori finanziari, garantendo la tutela dei diritti e delle libertà fondamentali del cliente.

L’Autorità Garante, come di consueto, ha richiamato l’attenzione sulla necessità di adottare particolari misure a tutela dei dati personali raccolti.

In particolare, considerato l’utilizzo in mobilità dei dispositivi, l’Autorità ha raccomandato che il trattamento dei dati biometrici degli utenti sia effettuato nel rispetto scrupoloso delle misure di sicurezza, per ridurre al minimo i rischi di installazione di applicazioni non autorizzate o di contatto con malware.

Inoltre, secondo l’Autorità, deve essere garantita la funzionalità di c.d. “remote wiping” che garantisce, nel caso in cui i tablet vengano manomessi, smarriti o rubati, che il loro contenuto sia cancellato da remoto.

Dalla lettura del provvedimento si desume, inoltre, che il trattamento dei dati biometrici è subordinato al consenso del cliente. Sul punto, l’Autorità richiama l’attenzione sulla necessità di garantire che il consenso – ove richiesto e sempre che non ricorra una circostanza equipollente ai sensi dell’art. 24, comma 1° del Codice – sia libero e consapevole.

Conformemente al principio generale di necessità nel trattamento dei dati personali, l’Autorità Garante ha infine richiamato l’attenzione sulla necessità di garantire che i dati biometrici non siano conservati per un periodo superiore alle finalità per le quali sono stati raccolti e successivamente trattati. Un eventuale prolungamento dei tempi di conservazione può essere giustificato da specifiche previsione di legge o per la tutela di un diritto in sede giudiziaria.

Restano salvi gli ulteriori adempimenti previsti dalla normativa vigente fra cui la notificazione del trattamento e l’obbligo di designare eventuali soggetti terzi di cui ci si avvale nella fornitura del servizio, ricorrendone i presupposti, responsabili del trattamento.

Concludendo, il provvedimento in esame, che non ha carattere generale, contiene importanti indicazioni sull’utilizzo di sistemi di sottoscrizione basati sulla rilevazione di caratteristiche biometriche. Attesta inoltre come il ricorso a detti sistemi sia in crescente espansione e rispetto agli altri provvedimenti adottati sul tema e oggetto di approfondimento in questo blog, contiene indicazioni in merito alla nozione di titolarità e di cotitolarità del trattamento di dati personali, considerando che non di rado il processo coinvolge più soggetti.

La professione deve adeguarsi ai cambiamenti imposti dalla tecnologia odierna e dalle nuove sensibilità. Il Garante privacy ha annunciato l’adozione di una delibera con la quale promuove modifiche e integrazioni al codice di deontologia dei giornalisti.

Durante il recente incontro tra i rappresentanti del Consiglio nazionale dell’Ordine dei giornalisti e il Garante per la protezione dei dati personali si è confermata la comune volontà di adeguare il codice anche “alle mutate realtà e sensibilità, anche alla luce delle implicazioni che l’evoluzione tecnologica ha sul modo di fare informazione”.

Nella delibera, in corso di pubblicazione sulla Gazzetta Ufficiale, è previsto un periodo di consultazione con gli stakeholder nel quale i soggetti rappresentativi del mondo dell’informazione ed altri soggetti interessati alle problematiche legate alla protezione dei dati personali potranno intervenire con proposte ed osservazioni. Ulteriori contributi potranno pervenire da parte di associazioni o altri organismi che operano in particolare sulla rete Internet nei settori legati alle attività dei mezzi di informazione o si interessano del rapporto tra libertà di informazione e tutela della privacy.

I contributi dovranno essere inviati alla casella codicegiornalismo@gpdp.it.

La relazione del Garante per la protezione dei dati personali al Parlamento ha ripreso molti temi di grande interesse: la rilevanza della trasparenza, l’importanza del diritto di cronaca, il necessario bilanciamento tra esigenze di indagine e diritto all’anonimato.

Il Garante ha avviato iniziative ad hoc in materia di indagini giudiziarie e ha ribadito l’esigenza di un coordinamento fra i legislatori: in estrema sintesi. il diritto di internet non può essere un diritto nazionale.

Due gli spunti che hanno maggiormente attirato la mia attenzione:

1) Revisione delle misure di sicurezza. Si sta considerando di rivedere le norme in materia di sicurezza. In sostanza, l’allegato B al Codice, disciplinare tecnico in materia di sicurezza. Tali norme paiono oggi inadeguate, non essendo state pensate per un mondo in cui internet è protagonista, basti pensare al cloud computing.

2) Gli algoritmi non sono neutrali. “Trasparenza totale”, ha affermato il Garante “non significa verità”. “Gli algoritmi non sono neutrali” e si rischia di trovare in rete una visione parziale e distorta del mondo, ciò che gli algoritmi ci fanno vedere, che non necessariamente è la realtà.

L’11 giugno alle ore 11,00, presso la Sala della Regina di Palazzo Monte Citorio, l’Autorità Garante per la protezione dei dati personali presenterà la Relazione sull’attività svolta nel 2012.

La Relazione illustra i diversi fronti sui quali è stata impegnata l’Autorità, attualmente composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici e Licia Califano, nel suo sedicesimo anno di attività. La presentazione offrirà anche l’occasione di fare il punto sullo stato di attuazione della legislazione sulla privacy; saranno inoltre  indicate le prospettive di azione verso le quali intende muoversi il Garante.

La cerimonia avverrà alla presenza della Presidente della Camera dei Deputati, Laura Boldrini, di Ministri e di rappresentanti del Parlamento, delle Istituzioni, del mondo dell’impresa e delle associazioni di categoria.

In vista delle elezioni 2013 l’Autorità Garante per la protezione dei dati personali ha recentemente emanato un apposito provvedimento (pubblicato sulla G.U n.11 del 14 gennaio 2013) che conferma le regole già stabilite dal provvedimento generale del 2005 in materia di trattamento dei dati per attività di propaganda elettorale.

Sarà possibile utilizzare senza richiesta di consenso i dati contenuti nelle liste elettorali detenute dai Comuni, i dati personali di iscritti ed aderenti, gli elenchi e i registri in materia di elettorato attivo e passivo (es. elenco degli elettori italiani residenti all’estero) ed altre fonti documentali detenute da soggetti pubblici accessibili a chiunque.

Sarà invece necessario il consenso per le comunicazioni elettroniche con e-mail, sms, mms e per i dati raccolti su internet, da liste di abbonati ad un provider e dati presenti sul web per altre finalità.

Sarà sempre necessario il consenso per le telefonate e l’uso dei dati degli abbonati presenti negli elenchi telefonici.

È invece vietato utilizzare dati presenti negli archivi dello stato civile, nell’anagrafe dei residenti, e gli indirizzi raccolti per attività istituzionali e servizi dei soggetti pubblici, così come le liste elettorali di sezione già utilizzate nei seggi e i  dati annotati privatamente nei seggi da scrutatori e rappresentanti di lista durante operazioni elettorali.

Poiché i cittadini devono essere sempre informati dell’uso dei propri dati, nel caso non fossero raccolti direttamente presso l’interessato, sarà necessario fornire l’informativa all’atto della registrazione dei dati o al momento del primo contatto. Il Garante ha comunque consentito ai partiti e candidati una temporanea sospensione dell’informativa fino al 30 aprile 2013 per i dati raccolti da registri ed elenchi pubblici o in caso di invio di materiale propagandistico di dimensioni ridotte.

sorveglianzaIl datore di lavoro non può registrare le conversazioni dei lavoratori attraverso il sistema di videosorveglianza.

È quanto stabilito da un recente provvedimento dell’Autorità Garante per la protezione dei dati personali recentemente intervenuta per vietare l’uso di un sistema di videosorveglianza capace di captare le conversazioni dei dipendenti di un call center.

Sono state così spente quattro telecamere orientabili, tre delle quali munite di microfoni per la registrazione audio, situate all’ingresso e negli ambienti delle postazioni di lavoro dei dipendenti.

Sistemi di questo genere, ha spiegato il Garante, sono accettati in quegli ambienti lavorativi in cui la sorveglianza sia giustificata da esigenze organizzative, produttive o di sicurezza del lavoro, in accordo con le rappresentanze sindacali, oppure su autorizzazione di un ufficio del ministero del lavoro.

Nel caso specifico, non sono state rilevate le condizioni per giustificare l’istallazione dell’impianto, peraltro segnalato in prossimità dei luoghi tenuti sotto vigilanza con cartelli in cui mancavano alcune informazioni obbligatorie. L’attività di sorveglianza è perciò da considerarsi in violazione della legge.

L’Autorità ha inoltre vietato il trattamento dei dati personali dei dipendenti raccolto illecitamente. Gli atti riguardanti la società saranno trasmessi alla magistratura per la valutazione di eventuali profili penali.

L’uso del cloud computing nelle attività e nei servizi delle pubbliche amministrazioni è uno degli obiettivi della cabina di regia per l’attuazione dell’Agenda Digitale italiana.

Tuttavia, se da un lato la “nuvola” offre soluzioni innovative per gestire molteplici attività con efficienza e possibili risparmi, dall’altro l’uso di questa tecnologia presenta criticità e rischi per la privacy di cui occorre tenere conto.

Per facilitare la scelta della soluzione più sicura per le attività isttuzionali, il Garante per la Protezione dei Dati Personali  ha reso disponibile online il vademecum “Cloud computing. Proteggere i dati per non cadere dalle nuvole”.

L’obiettivo è quello di promuovere un utilizzo corretto delle nuove modalità di erogazione dei servizi informatici attraverso una riflessione su alcuni degli aspetti giuridici, economici e tecnologici del settore.

Le indicazioni contenute nel vademecum sono indirizzate a tutti gli utenti,  in particolare imprese e amministrazioni pubbliche. L’opuscolo in formato cartaceo può essere richiesto all’Ufficio stampa, Piazza di Monte Citorio n. 121, 00186 Roma, e-mail: ufficiostampa@garanteprivacy.it, oppure scaricato in formato elettronico dal sito www.garanteprivacy.it.

libro_pizzettiL’Autorità Garante per la protezione dei dati personali, composta da Francesco Pizzetti, Giuseppe Chiaravalloti, Mauro Paissan e Giuseppe Fortunato, ha recentemente presentato “Sette anni di protezione dati in Italia“, un libro che traccia il bilancio del lavoro svolto negli ultimi sette anni dall’Autorità e raccoglie una ricca documentazione sugli interventi che hanno caratterizzato l’attività del Collegio.

Il presidente Francesco Pizzetti ha  colto l’occasione della presentazione del volume per fare il punto sull’odierno panorama normativo in materia di protezione dei dati personali ed sulle recenti proposte di revisione della normativa europea, che consistono in un Regolamento e una Direttiva relativa ai trattamenti per finalità di giustizia e di polizia.

Citando la Vicepresidente della Commissione Neelie Kroes, durante la presentazione del libro il Garante ha sottolineato che “senza un efficace sistema di protezione dei dati, anche lo sviluppo dell’agenda digitale corre pericoli seri e rischia di andare incontro a resistenze, diffidenze e limitazioni che ne metterebbero seriamente a rischio l’efficacia innovativa e la capacita? di incrementare lo sviluppo delle nostre economie“.

Nell’approfondimento dedicato al tema in “Sette anni di protezione dei dati in Italia”, il Garante dichiara che la proposta di revisione della normativa indubbiamente evolve verso una maggior protezione dei dati personali. Il Regolamento, ricorda infatti il Garante, si applicherà ai trattamenti effettuati dai titolari operanti in paesi terzi quando riguardano beni o servizi offerti a soggetti residenti nell’Unione Europea o i dati sono trattati per profilare il loro comportamento.

Sono state inoltre introdotte diverse novità rilevanti.  Tra i principali elementi chiave delle nuove proposte spicca l’introduzione dell’obbligo “generalizzato” di notifica dei data breach (art. 31), l’obbligo di implementare approcci di privacy by design e by default (art. 23) e l’obbligo di valutazione d’impatto privacy (art. 33). L’obbligo di notifica dei trattamenti all’Autorità è stato invece eliminato e sostituito dall’obbligo per le pubbliche amministrazioni e le grandi aziende di nominare un responsabile per la protezione dei dati (data protection officer: art. 35) o di tenere la documentazione a disposizione dell’autorità di controllo e degli interessati (art. 28).

Sono inoltre stati sanciti il principio di accountability (art. 22) e il principio di data portability (art. 18).

Per un approfondimento si rimanda alla pagina dedicata alla proposta di revisione della normativa presente sul sito della Commissione di Giustizia europea. Il testo del discorso del Presidente Francesco Pizzetti è invece disponibile sul sito del Garante per la protezione dei dati personali.