Si deve a due informatici canadesi l’ideazione del Quit Facebook Day, la giornata della cancellazione da Facebook, fissata per il 31 Maggio. Si tratta di un’iniziativa di protesta contro il modo in cui il social network sta trattando i dati personali dei suoi utenti: in occasione del Quit Facebook Day si invitano tutti coloro che hanno a cuore la propria privacy a cancellare il proprio profilo.
L’iniziativa sta riscuotendo un discreto successo, soprattutto sulla scia delle polemiche suscitate dall’ultima trovata commerciale di Facebook, la cosiddetta “instant personalization” che prevede che siti esterni al social network possano accedere ai dati degli utenti quando questi transitano sulle loro pagine.
Ma non è solo quest’ultima intrusione il motivo del malcontento sempre più esteso nei confronti di Facebook. Recenti articoli hanno evidenziato un percorso di progressiva erosione della capacità di controllo dei propri dati offerta agli utenti del servizio (per una rapida panoramica dello stato della privacy dei profili di FB nel tempo, un ricercatore dell’IBM Center for Social Software ha ideato una pratica visualizzazione grafica).
Come se ciò non bastasse, l’orientamento sprezzante della tutela dei dati personali della policy interna al Social Network era stato chiaramente esplicitato dal suo fondatore Mark Zuckerberg che all’inzio di quest’anno aveva dichiarato che “la privacy è un concetto ormai superato“.
In evidente disaccordo con lui alcuni senatori degli Stati Uniti recentemente hanno indirizzato al social network una lettera nel quale si invitava l’amministrazione a migliorare la tutela dei dati personali degli utenti. In seguito anche il Working Party, il gruppo dei Garanti dei dati personali dell’unione Europea, ha richiamato Facebook in una lettera di aperta critica.
La tempesta di polemiche questa settimana ha trovato una risposta da parte del social network. Facebook ha dichiarato che renderà più semplici i meccanismi di protezione dei propri dati per gli utenti, annunciando l’introduzione di un unico bottone per disabilitare l’intrusione nel loro profilo di terze parti.
Mercoledì Mark Zuckerberg ha scritto nel suo blog una lunga lettera di spiegazioni sui nuovi controlli della privacy, che a tratti assume toni di scusa:
Ogni volta che facciamo un cambiamento proviamo a imparare dalle lezioni passate, e ogni volta facciamo anche nuovi sbagli. Siamo lontani dalla perfezione, ma sempre facciamo del nostro meglio per costruire il miglior servizio per voi e per il mondo.
L‘Electronic Frontier Foundation, da sempre in prima linea in materia di privacy, ha commentato positivamente la risposta di Facebook, tuttavia ha puntualizzato che non è che il primo passo. Molta strada resta ancora da fare per garantire agli utenti del servizio un pieno controllo dei propri dati. Ad esempio, anche se è stata facilitata la procedura di opt-out, la famigerata instant personalization rimane un’impostazione di default. Per un’analisi precisa delle implicazioni negative sui dati personali che persistono su Facebook si rimanda all’articolo dell’EFF.
La reputazione di Google si macchia nuovamente di una violazione della privacy, questa volta non solo dei suoi utenti, ma di tutti i cittadini della rete.
Si tratta di un’indebita raccolta di dati personali effettuata tramite le apparecchiature di mappatura del territorio del servizio Google Street View, in attività dal 2006. Pare che le automobili di Google, fotografando le vie cittadine di moltissime località di tutto il mondo, abbiano nello stesso tempo raccolto informazioni sulle reti wi-fi che intercettavano durante il loro passaggio. Non solo dati tecnici relativi alle reti informatiche, ma anche informazioni quali i siti visitati e i contenuti di messaggi istantanei ed e-mail.
I primi ad insospettirsi riguardo ai dati raccolti da Street View sono stati i garanti della privacy tedeschi. In Germania, così come in Svizzera, la mappatura fotografica di Google ha sempre incontrato una forte resistenza ed è stata accettata dal governo solo in seguito alla promessa da parte dell’azienda di Mountain View di offuscare volti, targhe automobilistiche e numeri civici dalle immagini trasmesse in rete. Il Governo di Berlino ha inoltre imposto al motore di ricerca di obbedire a qualunque richiesta di rimozione della foto della propria abitazione da parte dei cittadini (pare che da allora siano state inoltrate centinaia di richieste di questo tipo).
L”ultima richiesta dei regolatori della privacy della Germania ha portato però alla scoperta di un’ulteriore violazione da parte di Google. Lo scorso aprile gli osservatori tedeschi hanno infatti appreso che le automobili itineranti del servizio Street View registravano i nomi e la localizzazione dei routers wireless che incontravano nel loro percorso. Google si è difesa dicendo di non infrangere nessuna legge, dato che in Germania questo genere di informazioni sono di dominio pubblico, e ha invitato i garanti della privacy ad ispezionare le apparecchiature sulle vetture del servizio per verificare l’effettiva raccolta di queste mere informazioni tecniche. L’ispezione tuttavia non è finita nel modo migliore per il motore di ricerca: i tecnici tedeschi hanno infatti scoperto che Google registrava sui suoi hard disk tutti i dati scambiati su reti wireless non protette da password, dai siti visitati a stralci di conversazioni.
Google venerdì scorso ha rilasciato una dichiarazione nella quale si sostiene che la raccolta di tali informazioni sia avvenuta per errore - uno sbaglio nella programmazione dei software di registrazione – e che la compagnia sia pronta a cancellare immediatamente tutti i dati, secondo le disposizioni dei vari governi. Nel suo blog, il motore di ricerca ha anche sottolineato come quei dati non siano mai stati utilizzati dall’azienda e che il loro utilizzo sarebbe comunque improbabile, dato che gli stralci di conversazioni non sono che frammenti registrati mentre la macchina di Street View attraversava una rete non protetta.
In seguito a queste dichiarazioni, il commissario per la protezione dei dati personali del governo federale tedesco Peter Schaar ha chiesto che un esaminatore indipendente analizzi gli hard disk per detrminare l’esatta quantità di informazioni archiviate. In una nota sul suo blog governativo Schaar esprime un chiaro scetticismo verso la non intenzionalità espressa da Google:
‘‘Dunque il tutto si ridurrebbe a una svista! Un errore di software! [...] I dati sono stati raccolti e registrati contro la volontà dei project manager e degli altri menager di Google. Se seguiamo ulteriormente questa logica, ciò significa: il software è stato installato e usato senza essere propriamente testato in anticipo. Miliardi di dati sono stati raccolti per sbaglio senza che nessuno a Google se ne sia accorto, inclusi gli addetti alla protezione dei dati, che due settimane fa difendevano le pratiche interne di raccolta dati dell’azienda”.
Ogni volta che Google lancia un nuovo servizio mondiale sembra non tenere per nulla in considerazione la privacy degli utenti . È questa, in sintesi, la preoccupazione espressa dai Garanti della Privacy di Italia, Canada, Francia, Germania, Irlanda, Israele, Olanda, Nuova Zelanda, Spagna e Gran Bretagna, che in una lettera indirizzata al colosso di Mountain View si dicono ”profondamente preoccupati per il modo in cui Google affronta le questioni legate alla privacy, in particolare per quanto riguarda il recente lancio del social network Google Buzz”.
Il servizio Google Buzz, associato alla posta di Google Gmail, è stato lanciato all’inzio di Febbraio ed ha subito sollevato proteste da parte degli utenti preoccupati per la violazione dei loro dati personali. Una violazione che – è stato sottolineato nella lettera dai Garanti – sarebbe dovuta sembrare evidente fin da subito a quelli di Google. L’operazione infatti è stata ambigua: improvvisamente Google ha trasformato il suo tradizionale servizio di e-mail “uno a uno” in una versione sperimentale di un social network. Nel far ciò ha assegnato ad ogni account di posta un “profilo” nel quale venivano automaticamente catalogati come “followers” tutti i contatti e-mail dell’account, creando così una rete di visibilità dei dati personali (ogni utente poteva vedere i nomi dei followers di un altro utente) senza previa autorizzazione.
Nonostante Google abbia corretto questa impostazione del servizio in seguito alle proteste degli utenti, i Garanti si dicono estremamente preoccupati per come ciò sia potuto avvenire. Nella lettera hanno sottolineato che rilasciare una versione beta di un servizio non significa poter posticipare la questione della tutela dei dati personali ad un secondo tempo e hanno ricordato che non è la prima volta che Google si comporta in questo modo. Analoghe proteste furono infatti suscitate dal lancio della prima versione di Google Street View, nella quale era possibile vedere i volti delle persone fotografate nelle strade e nelle piazze di tutto il mondo.
Un portavoce di Google intervistato dal Wall Street Journal non ha voluto commentare la lettera ma ha liquidato la questione con una battuta “Il tempismo dei Garanti è quantomeno ironico dal momento che Google sta per rilasciare un importante annuncio di trasparenza sulle richieste dei governi “.
L’annuncio, pubblicato giovedì, ha però poco a che fare con la richiesta dei Garanti della privacy, perché riguarda la decisione di Google di rendere note al pubblico le richieste di rimozione di contenuti ricevute periodicamente dai vari governi del mondo. Attraverso la trasparenza Google spera di contribuire alla lotta contro la censura.
Al contrario, nella lettera indirizzata a Google dai Garanti della privacy, non si chiede al fornitore di servizi – per una volta – di prendersi la responsabilità sui contenuti generati da terze parti. Si chiede invece un’assunzione di responsabilità sul trattamento dei dati personali in possesso dell’azienda. A questa richiesta Google non ha ancora rilasciato una risposta formale.
Le motivazioni non convincono.
Si nega la responsabilità di Google come provider, ma si costruisce una nuova (e impropria) responsabilità di Google Italia come titolare di trattamento dei dati, fondata sull’assunto che Google Italia dovesse fornire l’informativa sul trattamento dei dati o controllare che l’informativa fosse fornita alla persona ripresa nel filmato, soggetto con cui Google non ha alcun rapporto diretto. Quest’ obbligo non è previsto nel Codice.
Esclusa la responsabilità del provider e del preventivo obbligo di sorveglianza ai sensi del d. lgs. 70/2003 , il provider, in questa decisione, diviene responsabile in quanto titolare del trattamento, ai sensi di una non fondata interpretazione del Codice per la protezione dei dati personali.
Più in generale, ciò che preoccupa è che sembra volersi costruire un’obliqua responsabilità indiretta del provider, non prevista dalla legge.
Questa sentenza si inserisce in un movimento giurisprudenziale altalenante (in senso contrario la recentissima decisione del Tribunale di Roma nel caso FAPAV-Telecom), volto a delineare la responsabilità del provider, anche oltre la previsione normativa.
Si ripropone il dibattito di oltre dieci anni fa, antecedente alla direttiva sul commercio elettronico, sulla responsabilità del provider.
La novità della decisione è che il tema viene affrontato indirettamente, attraverso la normativa sulla protezione dei dati personali, forzando la norma. Bisogna riportare il dibattito al vero tema, quello della responsabilità del provider, e quanto al profilo della protezione dei dati personali, semmai, chiarire il criterio di applicabilità delle leggi nazionali, in caso di più legislazioni concorrenti. è tempo di ridiscutere l’esclusione della responsabilità del provider? Facciamolo apertamente, magari rafforzando la responsabilità degli autori dei reati.
Alcune riflessioni sulla nota decisione Google-Vividown.
Le motivazioni non convincono.
Si nega la responsabilità di Google come provider, ma si costruisce una nuova (e impropria) responsabilità di Google Italia come titolare di trattamento dei dati, fondata sull’assunto che Google Italia dovesse fornire l’informativa sul trattamento dei dati o controllare che l’informativa fosse fornita alla persona ripresa nel filmato, soggetto con cui Google non ha alcun rapporto diretto. Quest’ obbligo non è previsto nel Codice.
Esclusa la responsabilità del provider e del preventivo obbligo di sorveglianza ai sensi del d. lgs. 70/2003 , il provider, in questa decisione, diviene responsabile in quanto titolare del trattamento, ai sensi di una non fondata interpretazione del Codice per la protezione dei dati personali.
Più in generale, ciò che preoccupa è che sembra volersi costruire un’obliqua responsabilità indiretta del provider, non prevista dalla legge.
Questa sentenza si inserisce in un movimento giurisprudenziale altalenante (in senso contrario la recentissima decisione del Tribunale di Roma nel caso FAPAV-Telecom), volto a delineare la responsabilità del provider, anche oltre la previsione normativa.
Si ripropone il dibattito di oltre dieci anni fa, antecedente alla direttiva sul commercio elettronico, sulla responsabilità del provider.
La novità della decisione è che il tema viene affrontato indirettamente, attraverso la normativa sulla protezione dei dati personali, forzando la norma. Bisogna riportare il dibattito al vero tema, quello della responsabilità del provider, e quanto al profilo della protezione dei dati personali, semmai, chiarire il criterio di applicabilità delle leggi nazionali, in caso di più legislazioni concorrenti. è tempo di ridiscutere l’esclusione della responsabilità del provider? Facciamolo apertamente, magari rafforzando la responsabilità degli autori dei reati.
E’ dedicato al provvedimento del Garante sugli amministratori di sistema il primo appuntamento della II Edizione degli “Incontri su Diritto e Innovazione Tecnologica” organizzati da Alma Graduate School sotto la direzione scientifica della Prof. Avv. Giusella Finocchiaro.
Si tratta di un tema di indiscutibile attualità, anche in considerazione dell’ormai prossimo termine di scadenza per gli adempimenti previsti nel provvedimento. Entro il prossimo 15 Dicembre, infatti, i titolari di trattamento di dati personali devono adeguare la propria struttura organizzativa formalizzando la posizione di coloro che svolgono compiti di elaborazione, manutenzione e conservazione di elaboratori o loro componenti.
Per presentare e discutere i punti principali del provvedimento gli organizzatori hanno invitato il Dott. Cosimo Comella, componente dell’Autorità Garante per la protezione dei dati personali, che ha partecipato in prima persona alla stesura del documento.
L’inizio dell’incontro è previsto per le ore 15 di oggi 19 Novembre, presso l’abituale sede di Villa Guastavillani a Bologna (Via degli Scalini, 18).
Obiettivo di questo- come di tutti gli Incontri del ciclo- è approfondire i temi emergenti nel campo del diritto di internet, consentendo un confronto diretto ed interdisciplinare tra manager, addetti ai lavori e ricercatori.
Si chiama Stakeholder Forum on Fair Data Collection e nasce con una finalità chiara: far incontrare gli attori coinvolti nella “filiera” collegata al trattamento dei dati personali, e informare i cittadini intorno all’uso che degli stessi dati viene fatto. Perché gli abitanti del Vecchio Continente, sostengono gli ideatori del neonato Forum, sono molto preoccupati per la propria privacy. E la Commissione non può rimanere inerte di fronte ad una questione di tanta portata.
“Già nel 2007 il 10% dei pubblicitari europei faceva uso di pratiche di individualizzazione degli annunci basate sul trattamento dei dati personali” spiega a The Register la Commissaria per la Tutela dei Consumatori Meglena Kuneva. “Solo un anno dopo la quota era salita al 28%. Ed oggi quasi il 60% delle aziende del settore si dichiara intenzionato ad adottare tali tecniche”
Salvo che l’affermarsi di questa tendenza, continua Kuneva, costituisce una fonte di preoccupazione crescente per i cittadini europei. Da qui la decisione di creare un Forum permanente che coinvolga tutti gli attori coinvolti nei processi di raccolta, elaborazione e commercializzazione dei dati personali degli utenti. In concreto, la Commissione inviterà presto soggetti come gli Internet Service Provider, i produttori di contenuti, i pubblicitari e le stesse associazioni dei consumatori ad entrare nel Forum, ed a condividere questioni e soluzioni in materia di privacy e tutela delle informazioni personali.
“Questa sarà anche l’occasione per valutare insieme i rischi percepiti dai consumatori, e ricercare delle soluzioni condivise per fare fronte ad essi” ha aggiunto l’alta dirigente comunitaria.
La prima riunione dello Stakeholder Forum on Fair Data Collection dovrebbe tenersi nel prossimo mese di Febbraio, e la Commissione prevede altri due incontri nel corso del 2010.
I rappresentanti di oltre ottanta Autorità Garanti per la privacy di vari paesi, riuniti nei giorni scorsi a Madrid, hanno raggiunto un accordo su un set di standard atti a regolare su scala globale le principali questioni di privacy e tutela dei dati personali.
Sebbene i suoi contenuti non siano in alcun modo vincolanti per i governi, l’agreement costituisce un significativo passo in avanti in un ambito fin qui tralasciato dagli accordi internazionali, e quindi soggetto ad un elevato grado di frammentazione- per non dire balcanizzazione- normativa. Si spiega così la soddisfazione con la quale i delegati hanno salutato la firma della lista di linee guida. L’accordo, spiega il Garante italiano Francesco Pizzetti “contiene principi generali sulla protezione dei dati definiti in modo da poter essere accettati dalle Autorità di paesi che hanno una cultura diversa di protezione dei dati”.
Tra le principali indicazioni contenute nel documento, quella per cui le informazioni personali degli utenti possono essere raccolte soltanto in caso di “consenso libero, senza dubbi e informato”, e devono essere distrutte non appena sia stato raggiunto lo scopo che aveva condotto alla loro composizione. In secondo luogo, ai cittadini- navigatori devono essere assicurate precise garanzie a livello di circolazione internazionale dei dati a loro riferibili, con l’esplicita proibizione di cederli a paesi che non garantiscano standard di privacy adeguati.
Un compito importante di garanzia rispetto al corretto funzionamento dell’intera architettura è affidato agli Internet Service Provider, che devono tutelare assicurare l’accuratezza, la confidenzialità e la sicurezza dei dati raccolti.
Il trattamento, la conservazione e la gestione dei dati personali sono temi di assoluta centralità nel dibattito sullo sviluppo della rete. E la riflessione su di essi si fa ancora più urgente e attuale quando dall’indagine sulle informazioni individuali generalmente intese si passa a quella relativa ai dati sensibili: dati finanziari, dati politici, dati sanitari.
E proprio a “illuminare” il cammino della normativa italiana in materia di privacy sanitaria è dedicato un articolo della Prof.ssa Finocchiaro, originariamente comparso nel volume collettaneo La Legge sulla Privacy dieci anni dopo e recentemente ripubblicato su Sanità Pubblica e Privata (N. 2/2009). Nel paper vengono esaminati i diversi provvedimenti assunti dal Legislatore tra il 1998 ed il 2008, e si procede ad una valutazione critica relativamente alle diverse leggi ed al loro impatto pratico. Dopo aver passato in rassegna i profili relativi al consenso personale al trattamento, all’informativa per i pazienti ed alla sicurezza, l’autrice si sofferma sulle novità riguardanti i cosiddetti “fascicoli sanitari elettronici”, evidenziando in particolare:
- la necessità di prestare attenzione all’identificazione dei soggetti che accedono alle cartelle;
- l’obbligo di impiegare i dati contenuti nei fascicoli solo e soltanto per le finalità di cura che hanno portato alla loro raccolta;
- l’utilità di predisporre architetture informatiche ed organizzative in grado di garantire la massima sicurezza ai dati sanitari.
Proponiamo di seguito i passaggi introduttivi dell’articolo.
1. Osservazioni preliminari – In questa relazione mi propongo di tracciare un bilancio dei primi dieci di applicazione della normativa sul trattamento dei dati personali, con riferimento al settore sanitario, soffermandomi su alcune criticità.Trascorso ormai oltre un decennio dalla emanazione della l. 31 dicembre 1996, n. 675, “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali” abrogata e in gran parte rifluita, non senza modificazioni, nel Codice per la protezione dei dati personali, si può affermare che tra gli effetti positivi della normativa vi sia la generale acquisizione di una maggiore consapevolezza del problema, mentre non si può certo affermare che nel settore sanitario, che in questa sede ci occupa, si sia compiutamente diffusa una sentita cultura della privacy. Ancor meno può affermarsi che, nel settore sanitario in special modo, si sia giunti ad una completa attuazione della legge, mentre è significativamente aumentato il contenzioso per presunte violazioni del dettato normativo. In particolare, è noto che alcune norme del Codice in materia di protezione dei dati personali, come ad esempio l’art. 83 sulle misure idonee a garantire nel trattamento dei dati per finalità sanitarie il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, siano ancora lontane da una piena applicazione. Va ricordato al riguardo il provvedimento del Garante del 9 novembre 2005 che prescrive l’adozione delle misure citate ex art. 154, comma 1°, lett. c), fornendo anche alcuni chiarimenti, e ribadisce quanto previsto dal Codice. Dalla mancata attuazione delle disposizioni dell’art. 83 consegue, fra l’altro, la risarcibilità del danno.
(continua a leggere)
Gli istituti bancari sono tenuti alla massima attenzione riguardo i dati personali dei clienti, e i correntisti devono ricevere comunicazione immediata in caso di accesso indebito alle informazioni che li riguardano.
Lo ha stabilito l’Autorità Garante per la protezione dei dati personali con un recente provvedimento, di cui è stato relatore Mauro Paissan. Le indagini del Garante sono partite dalla denuncia di una cittadina la quale, nel corso di una causa di separazione, si era vista impiegare contro dal marito una serie di informazioni finanziarie riservate, di cui il coniuge non avrebbe potuto tecnicamente essere in possesso.
A questo punto la signora ha chiesto chiarimenti ai responsabili della propria filiale bancaria- i quali le avevano parlato di un accesso “per esigenze operative” da parte di un impiegato al suo conto- e alla stessa Autorità Garante. Gli accertamenti svolti da quest’ultima hanno messo in luce che:
1. la banca aveva sì adottato misure di sicurezza, ma non sufficienti a impedire il trattamento indebito dei dati da parte dei propri operatori;
2. la correntista non aveva ricevuto alcuna comunicazione rispetto all’accesso illegale al conto.
Per queste ragioni il Garante ha chiesto all’istituto creditizio in questione di adottare misure di protezione più scrupolose riguardo ad eventuali comportamenti indebiti da parte degli impiegati, e di svolgere opportune attività formative per sensibilizzare gli stessi al rispetto della privacy. Ha inoltre stabilito che ogni illecito debba essere immediatamente comunicato al correntista “vittima” dell’abuso, ed ha inviato il provvedimento alla Procura della Repubblica per le valutazioni di competenza riguardo a eventuali illeciti penali.
Raccogliere meno dati personali dei cittadini e farne un impiego più circoscritto. Sono queste le linee di azione lungo le quali intende muoversi il governo scozzese in materia di raccolta, impiego e conservazione dei dati personali dei cittadini.
In realtà, spiega The Register, la consultazione pubblica sul tema è appena iniziata. Ma l’esecutivo scozzese gode dell’appoggio dell’Autorità Garante per la protezione dei dati personali britannica (Information Communication Officer, ICO) e di larga parte dell’opinione pubblica.
Il piano prevede l’introduzione di una serie di linee guida in materia di Identity Management e Privacy, cui dovranno attenersi non solo le pubbliche amministrazioni, ma anche tutte le organizzazioni private e le fondazioni che erogano servizi di pubblica utilità.
-
Tutti i contenuti pubblicati su questo blog sono sottoposti ad una licenza Creative Commons
