Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on settembre 29, 2014

Tutela dei consumatori

(No comments)

wifi_usage_600x264Autorizzato l’utilizzo di smartphone e altri dispositivi elettronici portatili durante i viaggi aerei, ma la novità potrebbe non estendersi a tutte le compagnie.

L’Agenzia europea per la sicurezza aerea (o EASA, dall’acronimo inglese European Aviation Safety Agency), l’organo di controllo del settore aeronautico dell’Unione europea, ha emesso l’autorizzazione all’utilizzo di smartphone in volo senza necessità di impostare sui dispositivi la “modalità aereo”.

Oltre agli smartphone, il permesso riguarda ogni genere di apparecchiatura elettronica a bordo dell’aereo, dai tablet ai laptop, dagli e-reader ai lettori Mp3.

L’autorizzazione sarà rilasciata a tutte le compagnie aeree dopo un processo di valutazione mirato a verificare che i sistemi di navigazione aerea non subiscano alcun tipo di interferenza dai segnali trasmessi dai dispositivi elettronici dei passeggeri. per questo motivo potranno esserci delle differenze di regolamento fra una compagnia e l’altra.

L’Agenzia specifica che, in ogni caso, i passeggeri dovranno attenersi a quanto stabilito dai regolamenti delle singole compagnie.

“Questo l’ultimo degli step regolatori per consentire l’offerta di collegamenti mobili o WiFi “gate-to-gate”, sottolinea l’EASA,  ” la direttiva segue l’azione iniziale compiuta dall’agenzia nel dicembre 2013, che mira ad estendere l’utilizzo degli apparecchi durante tutte le fasi del volo”.

Maggiori informazioni sono disponibili sulla pagina web dedicata.

mobile-payment-payment-130521150345_mediumAlcune criticità sul trattamento dei dati di chi utilizza le nuove forme di pagamento attraverso smartphone e tablet hanno portato il Garante a presentare  uno schema di provvedimento volto a proteggere la privacy degli utenti del cosiddetto mobile remote payment, un sistema destinato a raggiungere in breve tempo una notevole diffusione.

Il Garante per la protezione dei dati personali ha avviato una procedura di consultazione pubblica sullo “Schema di provvedimento generale in materia di trattamento di dati personali nell’ambito dei servizi di mobile remote payment pubblicato il 12 dicembre 2013.

Le nuove forme di pagamento comportano il trattamento di una varietà di informazioni personali (numero telefonico, dati anagrafici, informazioni sulla tipologia del servizio o del prodotto digitale richiesto, il relativo importo, data e ora dell’acquisto), in alcuni casi anche di natura sensibile.

Nell’ottica di favorire lo sviluppo del mercato del mobile payment e garantire un trattamento sicuro delle informazioni le regole proposte dal Garante sono rivolte ai tre principali soggetti coinvolti nelle nuove forme di transazione elettronica: gli operatori di comunicazione elettronica, che forniscono ai clienti un servizio di pagamento tramite cellulare, con l’uso di una carta prepagata o mediante un abbonamento telefonico; gli aggregatori, che gestiscono le piattaforme tecnologiche per l’offerta di prodotti e servizi digitali; i venditori di contenuti digitali (ebook, videogiochi, servizi, ecc.).

Tra le principali disposizioni dell’Autorità l’obbligo per i provider telefonici e i venditori di informare gli utenti specificando quali tra i loro dati verranno utilizzati  e per quali scopi. Nel caso operatori e venditori svolgano attività di marketing, profilazione, o comunichino i dati a terze parti saranno obbligati anche a chiedere il consenso al trattamento dei dati agli utenti.

Sul versante della sicurezza, per garantire la confidenzialità dei dati operatori, aggregatori e venditori saranno tenuti ad adottare “sistemi di autenticazione forte per l’acceso ai dati da parte del personale, e procedure di tracciamento degli accessi e delle operazioni effettuate; criteri di codificazione dei prodotti e servizi; forme di mascheramento dei dati mediante sistemi crittografici.”

Dovranno inoltre essere “adottate misure per scongiurare i rischi di incrocio delle diverse tipologie di dati a disposizione dell’operatore telefonico (dati di traffico, sul consumo, relativi alla rete fissa, relativi alla fornitura di servizi etc.) ed evitare la profilazione incrociata dell’utenza basata su abitudini, gusti e preferenze. “

Per quanto riguarda la conservazione dei dati trattati dagli operatori, dagli aggregatori e venditori, le informazioni dovranno essere cancellate dagli archivi dopo 6 mesi, fatto salvo l’indirizzo Ip dell’utente che dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale. Per la conservazione dei dati di traffico telefonico e telematico coinvolti nelle operazioni di mobile payment si dovranno rispettare i periodi di tempo previsti dal Codice privacy.

La consultazione è volta a raccogliere osservazioni e commenti sull’adeguatezza delle misure presentate dall’Autorità ed eventuali ulteriori proposte operative da parte di tutti gli stakeholder: privati cittadini, aziende, associazioni di categoria, centri di ricerca, università ecc. Tutti gli interessati potranno far pervenire contributi e osservazioni al Garante per posta o attraverso la casella email consultazionemp@gpdp.it.

Lo schema di provvedimento è disponibile QUI.

posted by admin on giugno 10, 2013

Miscellanee, firma grafometrica

(No comments)

La recente pubblicazione in Gazzetta delle Regole tecniche in materia di firme elettroniche avanzate, qualificate e digitali, offre l’occasione per presentare un approfondimento di Giusella Finocchiaro sul tema della firma grafometrica, la nuova tecnologia di firma che consiste in una sottoscrizione autografa su tablet effettuata attraverso una speciale penna digitale.

Secondo il Codice dell’Amministrazione Digitale attualmente in vigore, la firma grafometrica possiede alcune caratteristiche tecniche secondo le quali può essere considerata sia come una firma elettronica sia come una firma elettronica avanzata.

Tuttavia, a differenza delle altre firme informatiche, la firma grafometrica si effettua attraverso lo stesso movimento della mano impiegato nella sottoscrizione autografa tradizionale. La sola differenza risiede nel fatto che il gesto viene effettuato su un tablet invece che su materiale cartaceo. Se la firma grafometrica non è oggi considerata come una sottoscrizione autografa a tutti gli effetti ciò può essere dovuto solo ad una resistenza culturale e non a un effettivo ostacolo nella coerenza giuridica.

Questa considerazione muove Giusella Finocchiaro lungo un percorso logico che, partendo dall’analisi della tecnica della metafora utilizzata dal legislatore per richiamare in materia di firme informatiche l’esperienza giuridica della sottoscrizione autografa, arriva a dimostrare che nel caso della firma grafometrica tale metafora non solo risulta irrilevante, ma è foriera di interpretazioni erronee e deve essere evitata.

L’articolo, pubblicato sul fascicolo n.1 del 2013 della rivista “Il Diritto dell’Informazione e dell’informatica” è disponibile per il download cliccando QUI.

 

I dispositivi mobili, com’è noto, espongono la privacy dei loro utenti ad un numero di rischi maggiore rispetto ai tradizionali desktop computer.

Oltre agli attacchi hacker e alla clonazione, che possono colpire qualunque dispositivo informatico, smartphone e tablet sono maggiormente esposti al rischio di furto, di smarrimento e ai rischi connessi all’utilizzo di reti dati non protette. A queste minacce vanno poi aggiunte le criticità legate ai frequenti passaggi di proprietà e alla condivisione d’uso.

Sottovalutare i pericoli ai quali è esposta la nostra privacy quando utilizziamo dispositivi mobili può causare spiacevoli inconvenienti, che possono portare serie conseguenze tanto nella vita privata quanto nella sfera sociale e professionale.

Per diffondere maggiormente la consapevolezza delle criticità e per ridurre significatamente i rischi è sufficiente tenere a mente una serie di semplici indicazioni. A questo scopo, il Garante per la protezione dei dati personali ha recentemente diffuso un video-tutorial di animazione, che vi proponiamo qui.

Immagine anteprima YouTube

È stato recentemente pubblicato sul sito istituzionale dell’Autorità Garante per la protezione dei dati personali un provvedimento con cui l’Autorità, a seguito di una richiesta di interpello preventivo formulata ai sensi dell’art. 17 del Codice in materia di protezione dei dati personali da Unicredit S.p.a., ha avuto modo di pronunciarsi sui sistemi, sempre più frequenti, di apposizione di firma autografa attraverso l’uso di speciali tablet e speciali pen drive.

Il provvedimento dell’Autorità, pronunciandosi favorevolmente sul sistema adottato da Unicredit, ha una grandissima rilevanza considerato che si tratta del primo provvedimento su questa specifica tematica e considerato altresì che indica quali sono le regole generali anche in materia di sicurezza cui attenersi nel fornire questi innovativi servizi. Particolare rilievo è dato, infatti, dall’Autorità al rispetto dei principi guida di ogni trattamento di dati personali, quali il principio di necessità, pertinenza e finalità.

posted by admin on febbraio 19, 2013

Eventi

(No comments)

Nuova sessione di lavoro per gli esperti internazionali sull’Accountability, questa volta i riflettori sono puntati sul flusso di dati in particolari contesti informatici come cloud computing e mobile.

Il 21 Febbraio 2012 si terrà a Varsavia l’incontro degli esperti afferenti all’Accountability Project Phase V, quinta fase del progetto Accountability-Based Privacy Governance sviluppato da The Centre for Information Policy Leadership.

Il progetto, avviatosi nel 2009, coinvolge un gruppo di lavoro di 60 esperti internazionali, tra i quali Giusella Finocchiaro, che collaborano per individuare e stabilire quali debbano essere gli elementi essenziali richiesti alle aziende per dimostrare l’affidabilità del proprio processo di trattamento delle informazioni.

L’idea di accountability al centro del progetto potrebbe essere tradotta con responsabilità e, insieme, prova della responsabilità. Il concetto è stato originariamente elaborato per favorire il flusso internazionale di dati personali, ma può avere una più ampia applicazione e può rappresentare un più generale paradigma nel trattamento dei dati personali.

Nel 2012, l’accountability si è affermata come un elemento riconosciuto in materia di privacy e protezione dei dati, al punto da diventare un aspetto rilevante della nuova proposta di regolamento in materia di protezione dei dati della Commissione Europea.

L’accountability è oggi considerata approccio pratico alla privacy e al trattamento dei dati personali. In quest’ottica, l’Accountability Project punta allo sviluppo di strumenti che possano essere utilizzati dalle organizzazioni per valutare lo stato della propria accountability e per dimostrarlo alle Autorità Garanti per la protezione dei dati personali.

La quinta fase del progetto, che si svolge in questi giorni in Polonia, si concentrerà sugli elementi di rischio rappresentati da particolari ambienti informatici come tablet, smartphone e cloud computing.

posted by admin on febbraio 22, 2012

Miscellanee

(No comments)

Con un comunicato stampa la RAI ha precisato di non aver mai richiesto il pagamento del canone TV per il mero possesso di un personal computer collegato alla rete, i tablet e gli smartphone.

Secondo quanto si apprende, la lettera di richiesta di pagamento inviata alle aziende dalla Direzione Abbonamenti Rai si riferisce esclusivamente al canone speciale dovuto nel caso in cui i computer siano utilizzati come televisori (digital signage) fermo restando che il canone speciale non va corrisposto nel caso  imprese, società ed enti abbiamo già provveduto al pagamento per il possesso di uno o più televisori.

La direzione di Viale Mazzini sottolinea che l’ applicazione del tributo in Italia è quindi limitata ad “una utilizzazione molto specifica del computer rispetto a quanto previsto in altri Paesi europei per i loro broadcaster, che nella richiesta del canone hanno inserito tra gli apparecchi atti o adattabili alla ricezione radiotelevisiva, oltre alla televisione, il possesso dei computer collegati alla Rete, i tablet e gli smartphone”.

posted by admin on febbraio 20, 2012

Miscellanee

(No comments)

Cresce in rete la protesta contro la richiesta del pagamento del canone RAI anche ad imprese e liberi professionisti per il possesso di un computer dotato di connessione ad Internet.

L’applicazione della tassa anche sui dispositivi digitali seguirebbe la generica prescrizione contenuta nel regio decreto-legge 21 febbraio 1938, n. 246 che prescrive che  “chiunque detenga uno o più apparecchi atti od adattabili alla ricezione delle radioaudizioni è obbligato al pagamento dei canone di abbonamento”.

Nonostante la datata normativa, solo dall’inizio di questo febbraio la RAI ha iniziato ad inviare lettere di sollecito anche alle aziende e agli studi professionali in cui richiede il pagamento della tassa per la detenzione di “uno o più apparecchi atti o adattabili alla ricezione di trasmissioni radiotelevisive al di fuori dell’ambito familiare, compresi computer collegati in rete (digital signage e similari), indipendentemente dall’uso al quale gli stessi vengono adibiti”.

Sebbene diverse associazioni di consumatori ed imprese abbiano da giorni sollevato la questione, è stato solo in seguito alla diffusione dello spot relativo al nuovo obbligo che gli utenti hanno dato il via alla protesta online. In particolare su Twitter l’argomento ha raggiunto velocemente il primo posto dei trending topics, i temi più discussi sul social network.

Secondo la maggioranza dei contestatori, l’imposizione della tassa risulterebbe particolarmente “assurda” in quanto la diffusione di strumenti digitali in grado di ricevere lo streaming televisivo è molto ampia (si pensi ai tablet, pc, smartphone, monitor, consolle per videogiochi…) mentre l’utilizzo effettivo di tali apparecchi per l’intrattenimento televisivo è in generale limitato, e in particolare quasi nullo sui luoghi di lavoro e nelle aziende.

Si contesta inoltre l’applicazione di una normativa fiscale obsoleta, risalente addirittura al 1938, che risulta particolarmente paradossale se confrontata con le recenti trasformazioni tecnologiche proprie della convergenza mediatica.

Una recente decisione del Tribunale di Düsseldorf ha bloccato le vendite del tablet Samsung Galaxy Tab 10.1 accogliendo la richiesta della Apple che denunciava una violazione di alcuni brevetti dell’iPad 2.

Secondo la società di Cupertino, la Samsung avrebbe violato i brevetti riproducendo nel suo tablet alcune caratteristiche dell’iPad2 tra cui il design, la confezione, la particolare interfaccia “touch” e alcune tecnologie legate all’uso delle reti al 3G e wireless.

L’ingiunzione preliminare emessa dal giudice tedesco ha vietato la distribuzione del prodotto e la relativa pubblicizzazione

Il blocco rimarrà in vigore fino a nuova decisione del giudice ed ha effetto su tutto il mercato europeo. Tuttavia, mentre in Germania l’ingiunzione è immediatamente esecutiva, per gli altri paesi potrebbe essere necessario ancora qualche tempo.

La Apple si aggiudica così l’ultimo round della battaglia legale sui brevetti che la vede da anni impegnata contro la Samsung in diversi paesi del mondo.

Se la decisione del giudice dovesse essere revocata la società di Cupertino potrebbe essere costretta a risarcire l’azienda Coreana dei danni derivati dal ritardo nel lancio sul mercato.

La Relazione annuale del Garante per la Protezione dei Dati Personali, presentata recentemente in parlamento, è stata arricchita da due schede di documentazione su cloud computing e su smartphone e tablet che forniscono indicazioni relative all’utilizzo consapevole di questi nuovi strumenti.

Per quanto riguarda tablet e smartphone l’attenzione del Garante è rivolta al mondo delle cosiddette app (application). Le modalità di acquisizione e distribuzione di questi particolari tipi di  software sono centralizzate e normalmente controllate da una pluralità di soggetti quali il produttore del dispositivo, il produttore del sistema operativo, l’operatore telefonico e dal gestore del market, come ad esempio l’Apple store.

La sempre più massiccia diffusione degli smartphone ha determinato una tale crescita che ormai i principali market hanno un portfolio che può superare le decine di migliaia di application e che pare in grado di offrire un servizio per ogni bisogno legato alla vita quotidiana dell’utente: lavoro, socialità, salute, svago.

L’utilizzo delle app implica naturalmente l’elaborazione e il trattamento di dati degli utenti, anche personali, riservati e persino sensibili. In molti casi i dati vengono archiviati e conservati sul dispositivo, ma sempre più spesso ci si avvale di mobile applications il cui utilizzo implica che le informazioni personali siano spostate o copiate nella cloud del fornitore del servizio.

L’analisi di questo genere di servizi conduce, secondo il Garante, a particolari aspetti critici dell’utilizzo della nuova generazione dei dispositivi: sono strumenti pervasivi, e le loro apposite facilitazioni d’uso favoriscono l’esternalizzazione e l’integrazione di dati tra aspetti distinti della vita dell’utente.

Secondo il Garante, le principali minacce per la sicurezza dei dati degli utenti deriva dalla mancata trasparenza nelle modalità di funzionamento delle applicazioni, dall’impossibilità per gli utenti di mantenere il controllo sulla comunicazione dei propri dati a soggetti terzi e da alcuni elementi tecnici di sicurezza informatica.

Come ottenere maggiori garanzie per l’utente? Il Garante suggerisce la combinazione di accorgimenti tecnici e di norme contrattualistiche da inserire nella filiera delle app, che parte dallo sviluppatore e arriva all’utente passando per diversi intermediari.

È fondamentale, tuttavia, che gli utenti siano posti nella condizione di decidere con responsabilità riguardo all’utilizzo dei propri dati.

A questo proposito l’Autorità intende impegnarsi per diffondere tra gli utenti la consapevolezza delle specificità legate all’utilizzo di applicazioni che raccolgono dati sulla vita privata (dai contatti alla posizione geografica, sino alle abitudini di consumi e comportamenti, a dati relativi alla salute ed alla vita di relazione) e della possibilità che tali dati possano essere resi “pubblici” ovvero comunicati ad altri, sia per finalità commerciali che di altro genere, anche per periodi di tempo illimitati e anche successivamente al momento in cui l’utente abbia cessato di utilizzare l’applicazione.

Occorre dunque che, per usare la metafora espressa dal Presidente dell’Authority Francesco Pizzetti durante la presentazione della relazione, l’utente sia consapevole del rischio di essere un “Pollicino elettronico” che lascia, spesso inconsapevolmente, una traccia digitale di ogni suo agire.