Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

ratingBlackMirror

Il rating reputazionale rappresentato nell'episodio "Nosedive" della serie Tv "Black Mirror"

Il progetto per la misurazione del “rating reputazionale” viola le norme del Codice sulla protezione dei dati personali e incide negativamente sulla dignità delle persone, lo ha stabilito il Garante per la protezione dei dati personali.

Elaborato da un’associazione e e da una società preposta alla gestione dell’iniziativa, il progetto consiste in una piattaforma web e un archivio informatico che raccoglie grande quantità informazioni personali su diversi tipi di individui (candidati, imprenditori, liberi professionisti ma anche privati cittadini) caricate dagli utenti o provenienti dal web. Attraverso un algoritmo, il sistema sarebbe poi in grado di misurare in modo oggettivo l’affidabilità delle persone in campo economico e professionale, attribuendo un punteggio (rating) alla loro reputazione online.

Il Garante ha rilevato che il sistema comporta rilevanti problematiche per la privacy a causa della delicatezza delle informazioni, del pervasivo impatto sugli interessati e delle modalità di trattamento. Infatti, il progetto presuppone una raccolta massiva, anche on line, di informazioni suscettibili di incidere significativamente sulla rappresentazione economica e sociale di migliaia di cittadini. Il “rating reputazionale” elaborato potrebbe ripercuotersi sulla vita delle persone censite, influenzando le scelte altrui e condizionando l’ammissione degli interessati a prestazioni, servizi o benefici.

L’Autorità ha espresso dubbi anche in merito all’asserita oggettività delle valutazioni, sottolineando che la società non è stata in grado di dimostrare l’efficacia dell’algoritmo che regolerebbe la determinazione dei “rating” al quale dovrebbe essere rimessa, senza possibilità di contestazione, la valutazione dei soggetti censiti. Vista la difficoltà di misurare situazioni e variabili non facilmente classificabili, la valutazione potrebbe basarsi su documenti e certificati incompleti o viziati, con il rischio di creare profili inesatti e non rispondenti alla identità sociale delle persone censite.

Da un punto di vista generale, il Garante ha inoltre manifestato perplessità sull’opportunità di rimettere ad un sistema automatizzato ogni decisione su aspetti così delicati e complessi come quelli connessi alla reputazione.

Anche le misure di sicurezza del sistema, basate, prevalentemente, su sistemi di autenticazione “debole” (user id e password) e su meccanismi di cifratura dei soli dati giudiziari, sono state definite “davvero inadeguate” dall’Autorità Ulteriori criticità, infine, sono state ravvisate nei tempi di conservazione dei dati e nell’informativa da rendere agli interessati.

Il Garante ha pertanto disposto il divieto di qualunque operazione di trattamento presente e futura per il progetto di rating reputazionale.

Obblighi rigorosi per le imprese che operano sui dati, trasparenza e tutela dei diritti, questi i principi fondamentali su cui si fonda il nuovo accordo fra EU e USA per gli scambi transatlantici di dati personali a fini commerciali.

Il 12 luglio 2016 la Commissione Europea ha completato la procedura di adozione del “EU-US Privacy Shield.” Lo scudo UE-USA per la privacy dà riscontro ai requisiti stabiliti dalla sentenza del 6 ottobre 2015 con cui la Corte di giustizia dell’Unione europea ha l’invalidato il vecchio regime, il Safe Harbour, in quanto ritenuto privo di sufficienti garanzie sulla tutela della riservatezza dei dati degli utenti europei trasferiti oltreoceano.

La decisione la Corte accoglieva il ricorso di un cittadino austriaco, Max Schrems, intrapreso nel 2013 nei confronti Facebook. Muovendo dalle rivelazioni del caso Snowden, Schrems aveva denunciato le violazioni al diritto alla riservatezza dei cittadini da parte della NSA, ritenendo perciò il diritto e le prassi statunitensi non sufficienti alla protezione dei dati trasferiti dall’Europa.

Con l’accordo del Privacy Shield gli Stati Uniti hanno escluso attività indiscriminate di sorveglianza di massa sui dati personali trasferiti negli Stati Uniti e hanno assicurato ufficialmente all’UE che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza nazionale è soggetto a limitazioni, garanzie e meccanismi di vigilanza precisi. Secondo le precisazioni fornite dall’Ufficio del Direttore dell’intelligence nazionale, la raccolta di dati in blocco sarà eventualmente ammissibile solo in presenza di determinati presupposti, e comunque si tratterà obbligatoriamente di una raccolta quanto più mirata e concentrata possibile.

Nel nuovo regime il Dipartimento del Commercio degli Stati Uniti sottoporrà le imprese aderenti allo scudo a verifiche e aggiornamenti periodici per accertare che rispettino nella pratica le regole che hanno volontariamente accettato. In caso contrario, l’impresa si espone a sanzioni e al depennamento dall’elenco degli aderenti.

Inoltre, il Privacy Shield permetterà a chiunque ritenga che  sia stato compiuto un abuso sui dati che lo riguardano il diritto a presentare una querela attraverso vari meccanismi di composizione delle controversie di agevole accesso e dal costo contenuto. Idealmente sarà l’impresa stessa a risolvere il caso di reclamo oppure saranno offerte gratuitamente soluzioni basate su un organo alternativo di composizione delle controversie (ADR). Le persone si potranno anche rivolgere alle rispettive autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale del Commercio per assicurare che i casi di reclamo sottoposti da cittadini dell’UE siano esaminati e risolti. Esperiti tutti gli altri mezzi a disposizione, come extrema ratio il caso irrisolto potrà essere sottoposto a arbitrato. Per i casi che implicano la sicurezza nazionale, i cittadini dell’UE dispongono di una possibilità di ricorso nella figura del mediatore, che è indipendente dai servizi d’intelligence degli Stati Uniti.

La Commissione europea e il Dipartimento del Commercio degli Stati Uniti effettueranno un’analisi annuale che consentirà di monitorare il funzionamento dello scudo, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale.

Il nuovo regime scaturisce dall’accordo politico del 2 febbraio 2016 fra la Commissione europea e il governo degli Stati Uniti d’America. In seguito, la Commissione ha inserito varie precisazioni e ulteriori miglioramenti basandosi sui pareri espressi delle autorità europee di protezione dei dati (Gruppo dell’articolo 29) e dal garante europeo della protezione dei dati e sulla risoluzione del Parlamento europeo. In particolare, la Commissione europea e gli Stati Uniti hanno concordato ulteriori precisazioni sulla raccolta di dati in blocco, il rafforzamento del meccanismo di mediazione e una maggiore esplicitazione degli obblighi delle imprese quanto ai limiti applicabili alla conservazione e all’ulteriore trasferimento.

Il 25 Maggio è entrato in vigore ufficialmente il Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla privacy relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati personali nell’Unione, che abroga la direttiva 95/46/CE.

Il testo – pubblicato sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) lo scorso 4 maggio – diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento.

Il testo è disponibile QUI. Per una rassegna delle principali novità del Regolamento si rimanda a QUESTA PAGINA.

Il 4 febbraio 2016, presso il rinnovato Museo Storico Alfa Romeo di Arese, l’Associazione Italiana Professionisti Security Aziendale, e l’Associazione Italiana Direttori del Personale e l’agenzia investigativa AXERTA hanno organizzano un Convegno di aggiornamento legislativo e di condivisione di best practices della security aziendale sul tema del Jobs Act e delle possibilità di controllo in azienda.

Scopo del convegno, definire come poter operare in concreto per salvaguardare il patrimonio aziendale grazie ad un confronto trasversale con 7 relatori di rilevanza nazionale, esperti in diritto penale e del lavoro, privacy, security, risorse umane ed investigazione.

Fra gli esperti, Giusella Finocchiaro è intervenuta con una relazione dedicata all Privacy e alla protezione dei dati personali. Su richiesta dei partecipanti, pubblichiamo QUI LE SLIDE a supporto della relazione della Prof. Avv. Giusella Finocchiaro, presentate al convegno.

Il documento è condivisibile liberamente secondo licenza “Creative Commons Attribution-NonCommercial-NoDerivs”.

Pubblicato dal Garante per la protezione dei dati personali il bilancio delle attività ispettive e sanzionatorie dell’ultimo anno.

Nel 2014, l’ammontare delle sanzioni applicate dal Garante Privacy nei confronti di pubbliche amministrazioni e società private raggiunge i 5 milioni di euro. La somma, con un incremento di quasi un milione rispetto al 2013, è in larga parte dovuta a violazioni in materia di misure di sicurezza, omessa o carente informativa, uso illecito di dati personali.

Sono 385 gli accertamenti ispettivi avviati che hanno coinvolto, tra gli altri, laboratori di analisi, società farmaceutiche, gestori di nodi di interscambio internet, società che gestiscono sistemi di mobile payment, app mediche e operatori telefonici.

Registrate anche 577 sanzioni amministrative contestate, che riguardano soprattutto casi di omessa o inidonea informativa, trattamento illecito di dati, mancata comunicazione di violazioni di dati personali.

Infine il Garante ha inviato all’autorità giudiziaria 39 segnalazioni relative a casi di mancata adozione delle misure minime di sicurezza, violazioni connesse al controllo a distanza dei lavoratori, accesso abusivo a sistemi informatici o telematici, false dichiarazioni e notificazioni al Garante, inosservanza dei provvedimenti dell’Autorità

Per quanto riguarda il 2015, in aggiunta ai procedimenti avviati lo scorso anno, sono già previsti 150 accertamenti di verifica, focalizzati sul trattamento dei dati personali nei sistemi di mobile payment, del fascicolo sanitario elettronico, del telemarketing e dei call-center operanti all’estero.

Il Garante della privacy ha accolto le istanze di due società telefoniche che intendono utilizzare i dati di geolocalizzazione dei propri lavoratori.

Al fine di ottimizzare la gestione delle risorse presenti sul territorio, migliorare la qualità degli interventi tecnici e facilitare eventuali interventi di soccorso, due compagnie di telecomunicazione si sono rivolte al Garante per richiedere il via libera alla raccolta delle informazioni geografiche rilevate attraverso app attive sugli smartphone dei dipendenti.

L’Autorità ha autorizzato il trattamento dei dati, prescrivendo tuttavia stringenti misure di sicurezza a tutela della riservatezza dei dipendenti. Sarà permessa la geolocalizzazione, ma non l’accesso ad altri dati sensibili, quali SMS, email ecc. e i lavoratori dovranno essere sempre consapevoli della propria tracciabilità. A questo fine, gli smartphone geolocalizzati dovranno essere dotati di un’icona ben visibile che indichi quando la funzione di localizzazione è attiva, e che i dipendenti siano sempre tenuti al corrente del trattamento di dati effettuato dalle società. Inoltre, la rilevazione dei dati non potrà essere continuativa, ma relativa ad intervalli di tempo. A garanzia di questa prescrizione saranno disponibili solo i dati dell’ultima rilevazione, che cancelleranno di volta in volta quelli della precedente.

Con questi accorgimenti, il sistema adottato dalle due società è stato ritenuto conforme al principio di liceità, poiché in grado di garantire un incremento di velocità dei servizi offerti ai clienti, l’ottimizzazione degli interventi tecnici, e il soccorso tempestivo in caso di difficoltà dei dipendenti. La procedura risulta inoltre conforme anche ai principi di necessità, pertinenza e non eccedenza.

Come di consueto, prima di attivare il sistema, le due società dovranno notificare all’Autorità il trattamento dei dati sulla localizzazione.

isoLa International Organization for Standardization (ISO) e la International Electrotechnical Commission (IEC) hanno adottato un nuovo standard internazionale per la protezione delle informazioni d’identificazione personale (Personally Identifiable Information o “PII”) da parte dei fornitori di servizi di public cloud.

La nuova certificazione, denominata ISO/IEC 27018, è intesa a offrire uno standard come unico riferimento per l’adempimento degli obblighi della normativa europa in materia di protezione dei dati personali.

Lo standard ISO 27018 è modellato specificatamente per i servizi cloud, quali ad esempio Amazon web services e Google Compute Engine, ed è il primo standard internazionale in materia di privacy per questo genere di servizi.

L’ISO 27018 è la risposta diretta alla richiesta dei Garanti Europei di un quadro regolatorio per i servizi cloud che possa contribuire ad infondere fiducia nell’utilizzo di sistemi di archiviazione in remoto.

La certificazione è finalizzata a mantenere riservati i dati personali degli utenti garantendo e impedendo che tali informazioni possano essere riutilizzate per secondi fini senza l’esplicita approvazione dei detentori di diritti.

Per potere ottenere la certificazione ISO 27018, un cloud service deve sottoporsi a un controllo da parte di un certificatore e per mantenerla sarà necessario sottoporsi ad un controllo periodico ogni tre anni.

L’attenzione internazionale verso il tema del diritto all’oblio come aspetto integrante della difesa della reputazione online è al centro dell’intervento di Giusella Finocchiaro al prossimo convegno Optime.

L’evento è volto a trattare il problema della diffamazione on line con completezza, approfondimento scientifico e orientamento alle soluzioni praticabili. In particolare il convegno illustrerà le nuove modalità attraverso le quali può essere arrecata lesione all’immagine sul web e, esponendo i recenti orientamenti della giurisprudenza nazionale e comunitaria e le recenti novità normative, analizzerà soluzioni di monitoraggio e tecnologie utili a prevenire il fenomeno e a intervenire per contenere i danni provocati dalla lesione all’immagine aziendale.

Giusella Finocchiaro interverrà con una relazione sulla privacy e il diritto all’oblio nella recente giurisprudenza comunitaria. Il suo intervento illustrerà in particolare la sentenza della Cassazione n. 5525 del 5 aprile 2012 in tema di diritto all’oblio e la decisione della Corte di Giustizia dell’Unione Europea del 13 maggio 2014.

Entrambi gli aspetti sono già stati oggetto di approfondimento su questo blog. Per la sentenza della Corte di Cassazione si veda il saggio di Giusella Finocchiaro “Identità personale su Internet: Il diritto alla contestualizzazione dell’informazione”, pubblicato su “Il diritto dell’informazione e dell’informatica” anno XXVIIC Fasc.3 – 2012, che abbiamo proposto QUI ai lettori. Per la decisione della Corte di Giustizia Europea si rimanda invece a QUESTO post.

IDENTITÀ PERSONALE SU
INTERNET: IL DIRITTO ALLA
CONTESTUALIZZAZIONE
DELL’INFORMAZIONE

Il convegno di Optime è rivolto ai Responsabili del Servizio Legale, ai Responsabili della Brand Protection, ai Responsabili delle Pubbliche Relazioni, ai Responsabili dei Sistemi Informativi di imprese, banche e assicurazioni, avvocati e consulenti.

L’evento si terrà a Milano, il 15 ottobre 2014. Per maggiori informazioni e per le iscrizioni si rimanda alla pagina di Optime dedicata all’evento.

Annunciato uno “sweep day” di verifica per le applicazioni scaricabili su smartphone e tablet.

Il Garante per la privacy avvierà un’indagine sulla correttezza delle procedure e sul livello di sicurezza delle app scaricabili su smartphone e tablet, verificando l’uso corretto dei dati degli utenti e delle richieste di autorizzazione per i download in conformità alla normativa italiana per la protezione dei dati.

Inserita nel quadro di cooperazione delle autorità Garanti dei Paesi aderenti al Global Privacy Enforcement Network (GPEN), l’azione del Garante aderisce all’iniziativa Privacy Sweep 2014, focalizzandosi su una “azione a tappeto” nell’ambito delle applicazioni mediche, settore tanto in crescita quanto critico per la gestione di dati di profili sanitari.

Lo “sweep” dell’Autority, che interesserà alcune delle 50 più importanti app disponibili sulle maggiori piattaforme, avrà luogo in una data compresa tra il 12 e il 18 maggio 2014, nel corso della settimana indicata dal GPEN per l’azione coordinata della rete delle Autorità Privacy a livello globale.

L’azione del Garante, che provvederà con interventi prescrittivi o sanzionatori in caso di violazione,sarà inserita in una ampia operazione volta ad accrescere la consapevolezza della necessità della protezione dei dati personali, favorire il rispetto delle norme a salvaguardia degli utenti, sviluppare azioni di sensibilizzazione e formazione del pubblico sull’uso delle applicazioni mobili e promuovere iniziative globali sulla privacy.

I risultati dell’indagine dello Sweep Day saranno resi noti nell’autunno 2014.

limousineLa sicurezza in materia di archiviazione di dati personali è nuovamente al centro di un fatto di cronaca. Dagli Stati Uniti giunge la notizia di un furto di dati ai danni di una compagnia di noleggio di limousine e auto di rappresentanza: si parla di oltre 850.000 clienti coinvolti, tra cui molte personalità di spicco del mondo della finanza, della politica, dello spettacolo e dello sport.

Il magnate Donald Trump, l’attore Tom Hanks e la star della NBA LeBron James sono alcuni dei personaggi famosi i cui dati personali e finanziari sono stati trafugati nellattacco hacker contro CorporateCarOnline, società americana specializzata nel noleggio online di auto di lusso.

Il furto è stato scoperto grazie al ritrovamento dell’archivio dei dati personali sugli stessi server che ospitavano  il “bottino” trafugato alcune settimane fa alla compagnia Adobe, che comprendeva il sourcecode di alcuni applicativi di Acrobat e ColdFusion, e all’agenzia di stampa americana PR Newswire. Il ritrovamento fa quindi pensare che lo stesso gruppo di hacker si celi dietro a tutti e tre gli attacchi.

L’archivio di CorporateCarOnline contiene i dati di 241.000 carte American Express delle tipologie ad alto limite di spesa o senza limite, oltre a una quantità di informazioni sulla ultra-benestante clientela della compagnia, tra cui gli indirizzi e gli itinerari di viaggio. Un vero e proprio tesoro di informazioni per cyber-criminali, per compagnie concorrenti, ma anche per i giornalisti di tabloid, che esplorando l’archivio potrebbero trovare rivelazioni imbarazzanti sulle abitudini dei personaggi coinvolti.

Una curiosità: il magazine sulla sicurezza online che per primo ha riportato la notizia, e che ha dato l’allarme sui possibili utilizzi illeciti da parte dei tabloid, ha pubblicato una lista dei dettagli informativi ritrovati sul server legati a ciascun personaggio famoso. Paradossalmente, la pubblicazione di queste informazioni, sulla cui liceità ci interroghiamo, sembrerebbe essere uno dei pericoli da cui lo stesso articolo mette in guardia. QUI il link al magazine.