Il Garante a Facebook: stop ai fake e trasparenza sui dati

Prima pronuncia dell’Autorità italiana nei confronti di Menlo Park, applicabile la normativa nazionale: Facebook dovrà comunicare ad un proprio utente tutti i dati che lo riguardano – informazioni personali, fotografie, post – anche quelli inseriti e condivisi da un falso account, il cosiddetto “fake”.

Facebook_news

Non solo: la società di Menlo Park dovrà bloccare il fake ai fini di un’eventuale intervento da parte della magistratura. Lo ha stabilito il Garante per la protezione dei dati personali nella sua prima pronuncia nei confronti del colosso web [doc. web n. 4833448], nella quale afferma la propria competenza a intervenire a tutela degli utenti italiani.

Il social network dovrà, inoltre, fornire all’iscritto, in modo chiaro e comprensibile, informazioni anche:

  • sulle finalità, le modalità e la logica del trattamento dei dati,
  • i soggetti cui sono stati comunicati o che possano venirne a conoscenza.

Il Garante ha accolto il ricorso di un iscritto a Facebook che si era rivolto all’Autorità dopo aver interpellato il social network ed aver ricevuto una risposta ritenuta insoddisfacente. L’iscritto lamentava di essere stato vittima di minacce, tentativi di estorsione, sostituzione di persona  da parte di un altro utente di Facebook, il quale, dopo aver chiesto e ottenuto la sua “amicizia”, avrebbe inizialmente intrattenuto una corrispondenza confidenziale, poi sfociata nei tentativi di reato.

Il ricorrente sosteneva, inoltre, che il “nuovo amico” – visto il suo rifiuto di sottostare alle richieste di denaro – avrebbe creato un falso account, utilizzando i suoi dati personali e la fotografia postata sul suo profilo, dal quale avrebbe inviato a tutti i contatti Facebook dell’interessato fotomontaggi di fotografie e video gravemente lesivi dell’onore e del decoro oltre che della sua immagine pubblica e privata.

L’interessato chiedeva quindi la cancellazione e il blocco del falso account, nonché la  comunicazione dei suoi dati in forma chiara, anche di quelli presenti nel fake.

Prima di intervenire nel merito, il Garante, anche alla luce della direttiva 95/46/EC e delle sentenze della Corte di Giustizia europea “Google Spain” del 13 maggio 2014 e “Weltimmo” del 1 ottobre 2015, ha innanzitutto affermato la competenza dell’Autorità italiana sul caso in esame, ritenendo applicabile il diritto nazionale.

La multinazionale, infatti, è presente sul territorio italiano con un’organizzazione stabile, Facebook Italy srl, la cui attività è inestricabilmente connessa con quella svolta da Facebook Ireland ltd  che ha effettuato il trattamento di dati contestato. Il Garante ha accolto le tesi del ricorrente ritenendolo, in base alla normativa italiana, legittimato ad accedere a tutti i dati che lo riguardano compresi quelli presenti e condivisi nel falso account.

Ha quindi ordinato a Facebook di comunicare all’interessato tutte le informazioni richieste entro un termine preciso.

L’Autorità non ha invece ritenuto opportuno ordinare alla società la  cancellazione  delle informazioni, poiché esse potrebbero essere valutabili in sede di accertamento di possibili reati. Ha di conseguenza  imposto a Menlo Park di non effettuare alcun ulteriore trattamento dei dati del ricorrente e di conservare quelli finora trattati ai fini della eventuale acquisizione da parte dell’autorità giudiziaria. 

Annunci

Data Protection, cosa cambia con il Regolamento Europeo

how-comply-gdprFonte: PuntoInformatico

Di Avv. V. Frediani

La direttiva del 1995 non è più sufficiente a garantire diritti e stabilire doveri, in un presente in cui i dati personali sono sempre più preziosi ed ambiti

Via alle nuove regole sulla protezione dei dati: con il voto  del Parlamento Europeo dello scorso giovedì si inaugura una nuova era per la privacy, tagliando un ambizioso traguardo dopo quattro anni di lavoro tra gli Stati membri e tracciando un importante punto di partenza per un nuovo concetto di governance dei dati, dove la trasparenza e la tutela delle informazioni rappresentano i perni centrali.
Una manovra economica, oltre che una svolta legislativa, tesa a porre fine all’obsoleto mosaico di norme nazionali, incapaci di creare un comune fronte d’azione e un quadro di riferimento omogeneo.

Del resto era chiaro come il trattamento dei dati fosse diventato un tema troppo caldo per essere gestito dall’attuale Direttiva privacy, datata 1995, quando Internet era solo agli esordi. Le continue pressioni dei colossi industriali per ottenere informazioni sui consumatori e le esigenze di sicurezza di raccogliere quanti più dati possibili su eventuali sospetti di reati transnazionali o di terrorismo, scandite da accesi dibattiti e feroci battaglie politiche tra industria e Autorità Garanti, hanno reso più che mai necessario nel tempo un regolamento generale a misura di Società “digitale”, dove tutto viaggia su smartphone, social media e trasferimenti di dati da un capo del mondo all’altro.

Ma cosa comprende nello specifico il pacchetto di protezione dati?

  • Diritto all’oblio,
  • condizioni per un “consenso chiaro” per il trattamento dei dati privati dell’interessato,
  • diritto di trasmettere i propri dati a un altro titolare del trattamento oltre che
  • trasparenza in materia di data breach ovvero il diritto di essere informati di eventuali violazioni dei propri dati personali.

Un tema di particolare interesse, quest’ultimo, che dovrà costituire argomento di adeguata analisi da parte delle aziende, le quali dovranno essere in grado di monitorare gli eventi relativi alla violazione dei dati e notificare all’Autorità competente, entro 72 ore decorrenti dalla conoscibilità dell’evento, i dettagli del medesimo. Con il possibile obbligo a notificare anche agli interessati eventuali violazioni subite.

Si tratta di un aspetto sintomatico del principio di trasparenza nel trattamento dei dati che questo Regolamento evidenzia in vari punti. Molti diritti, quindi, per gli interessati, che per le aziende si traducono in obblighi ed evidentemente in costi. Ma non solo.

Con riferimento alle figure del titolare e responsabile, viene specificato che “tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il controller/processor del trattamento mette in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare, che il trattamento dei dati è conforme al regolamento. Tali misure sono riesaminate ed aggiornate qualora necessario. Esse includono politiche adeguate in materia di protezione dei dati”. Quindi ampia discrezionalità circa la tipologia, ma, al tempo stesso, con l’onere di dimostrare il processo logico che ha portato ad adottarle, con tanto di politiche annesse.

Saranno obbligatori i cosiddetti privacy impact assessment (PIA) ovverosia una procedura interna che sintetizza in un documento i rischi sussistenti e le modalità per contenerli, sia dal punto di vista tecnico che di acquisizione dei dati in caso di conservazione o cancellazione. Sarà importante non solo la creazione del primo PIA, ma anche le successive modifiche che il trattamento potrà subire e che coinvolgeranno anche l’aspetto documentale.

Sul fronte della sicurezza occorre citare diversi concetti ricorrenti nel testo del Regolamento:

  • la puntualizzazione di cosa si intenda per pseudonimizzazione,
  • nonché cosa si intenda per minimizzazione (tecniche da applicarsi ai dati) piuttosto che
  • il rimarcato concetto di data retention, ancora non abbastanza conosciuto dalle aziende italiane, ovvero l’obbligo di dotarsi di un piano di conservazione temporale dei dati con la possibilità di pianificare la cancellazione per trattamenti o database.

Sul fronte dei rapporti cliente-fornitore cambiano vari aspetti.

Innanzitutto si evidenzia nel Regolamento la necessità che in caso di sviluppo prodotto o servizi, siano ben chiare le responsabilità relative alla gestione dei dati piuttosto che alle soluzioni di privacy by design e by default.
Come ci indica il legislatore europeo, tenendo conto “della tecnologia disponibile, dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche della probabilità e della gravità del rischio per i diritti e le libertà delle persone fisiche costituite dal trattamento, i Controllers del trattamento, sin dal momento della progettazione degli strumenti che trattano dati personali, nonché durante il trattamento stesso, mettono in atto misure organizzative e tecniche appropriate, come la pseudonimizzazione dei dati, che mirano ad attuare i principi di protezione dei dati, come la minimizzazione, in modo che il trattamento soddisfi i requisiti del regolamento e tuteli i diritti degli interessati”.

Secondariamente il ruolo del Fornitore dovrà essere proattivo in caso di implementazioni che impattino lato privacy piuttosto che partecipativo in caso di PIA. Il tutto ovviamente dovrà essere gestito attraverso una contrattualistica preventiva, a livello almeno di data processing agreement.

Ricordiamo infine il concetto di accountability richiamato dal legislatore rispetto all’attuazione del Regolamento nelle aziende: sarà onere del controller dimostrare di aver correttamente rispettato quanto sancito dal Regolamento anche attraverso un vero e proprio modello organizzativo integrato rispetto ai vari processi aziendali affinché la privacy divenga materia propedeutica alle attività.

L’allineamento delle imprese rispetto al nuovo assetto che, ricordiamo, entrerà in vigore dopo la pubblicazione sulla Gazzetta Ufficiale dell’UE e prevede due anni per l’adeguamento prima che le disposizioni siano applicabili in tutti gli Stati Membri, comporterà necessariamente una metamorfosi nel modus operandi, o perlomeno nella mentalità degli addetti ai lavori rispetto alla governance delle informazioni.

La svolta legislativa non deve di fatto rappresentare solo una disposizione alla quale conformarsi, ma deve essere colta come un’opportunità, una occasione di ripensamento dei processi interni nell’ottica di una razionalizzazione dei flussi informativi dell’azienda: interni, rispetto ai dipendenti, ed esterni rispetto ai fornitori.

Una presa di coscienza fondamentale, soprattutto a fronte degli aspetti sanzionatori previsti in caso di violazione delle disposizioni:

  • fino a 20 milioni di euro o, per le imprese,
  • fino al 4 per cento del fatturato mondiale totale annuo.