E-privacy, ok dei Garanti Ue a regole più stringenti ed estese anche ai colossi della rete

e-privacy_blogpost_picParere favorevole delle Autorità europee per la protezione dei dati (Gruppo Articolo 29) sulla proposta di Regolamento della Commissione europea concernente il “rispetto della vita privata e la protezione dei dati personali nelle comunicazioni elettroniche all’interno dell’Unione Europea”, il cosiddetto “Regolamento ePrivacy”.

Nel parere approvato il 4 aprile scorso, il Gruppo, oltre a manifestare  un generale apprezzamento per le nuove misure, ha tuttavia espresso anche alcune perplessità su aspetti specifici, tra questi:

  • le regole che dovranno disciplinare il tracciamento dei terminali degli utenti attraverso reti wi-fi o bluetooth, come pure
  • l’omesso, esplicito divieto per i fornitori di servizi di far ricorso ai cd. “tracking walls”, e cioè di imporre scelte del tipo “prendere o lasciare” che forzino gli utenti ad esprimere un consenso al tracciamento delle proprie attività on-line pur di accedere a contenuti determinati.

La proposta di Regolamento ePrivacy presentata dalla Commissione a gennaio rientra nel quadro della riforma introdotta con l’approvazione del pacchetto protezione dati e, in particolare, del nuovo Regolamento Generale (RGPD), che diverrà esecutivo il 25 maggio 2018.

Si tratta di un ulteriore passo avanti perché la proposta (che abrogherà la direttiva 2002/58, ossia la “vecchia” direttiva e-privacy) comprende norme speciali destinate ad incidere significativamente sui comportamenti e sui diritti delle persone che utilizzano ormai quotidianamente i servizi di comunicazione elettronica, specie quelli on-line.

Il nuovo Regolamento garantirà l’applicabilità delle stesse norme in tutta la UE e sul testo proposto il Parlamento europeo ed il Consiglio dell’UE dovranno esprimersi nel prossimo futuro.

Al riguardo, lo scorso 11 Aprile dinanzi al Parlamento Europeo si è tenuta un’audizione organizzata dalla Commissione per le libertà civili, la giustizia e gli affari interni (LIBE), alla quale ha partecipato anche un rappresentante dell’Ufficio del Garante italiano.

Questi, in sintesi, i punti di maggior rilievo della proposta di Regolamento e-Privacy:

Applicazione delle norme

Le norme europee verranno estese anche agli OTT (Over The Top), cioè i fornitori di servizi come WhatsApp, Facebook, Messenger e Skype, che saranno tenuti al rispetto delle regole e a garantire lo stesso livello di tutele dei più tradizionali operatori di telecomunicazione. 

Metadati

Non soltanto i dati, ma anche il contenuto delle comunicazioni e i metadati, cioè gli elementi accessori e di contorno di una informazione, godranno dello stesso livello di protezione: ove possibile dovranno essere anonimizzati e, se trattati senza consenso o quando non più necessari allo scopo per cui sono stati raccolti, cancellati.

Sarà richiesto il consenso degli utenti finali per la fornitura di servizi accessori (es. antivirus o ricerca di parole testuali nelle mail) e per il conseguimento di specifiche finalità ulteriori rispetto alla fornitura del servizio, che non possono essere ottenute utilizzando dati anonimi. Molto ampia, inoltre, la protezione del dispositivo utilizzato: si prevede che ogni interferenza con i terminali richieda il consenso dell’utente.

IOT

Viene per la prima volta menzionata la specificità dell’internet delle cose al fine di estendere il principio di confidenzialità delle comunicazioni anche ai trattamenti machine-to-machine.

Cookies

L’utente potrà compiere una scelta unica, accettando o rifiutando in blocco l’installazione dei cookie tramite un settaggio preliminare del browser. Il consenso non sarà invece necessario per l’installazione dei cookie cd. analytics, quelli utilizzati ad esempio per contare gli utenti che visitano uno specifico sito web o per tener traccia degli acquisti nel proprio carrello elettronico.

Telemarketing

La proposta prevede che per l’effettuazione di chiamate a carattere promozionale gli operatori utilizzino linee telefoniche contraddistinte da un prefisso identificativo unico che dovrà  obbligatoriamente essere mostrato in chiaro.

Informativa e acquisizione del consenso

Dovranno essere maggiormente user friendly anche mediante  l’impiego di icone stardardizzate.

Annunci

Privacy e smaltimento RAEE: sicurezza dati senza regole

  • raee4Fonte: PMI.it
  • di Emiliano Vitelli

Lo smaltimento non corretto dei RAEE può portare alla perdita e furto di dati personali: analisi della legislazione in materia, lacune normative e linee guida operative.

Stare al passo con la tecnologia implica un frequente ricambio di terminali informatici e dispositivi elettronici. Ciò comporta che in caso di smaltimento inadeguato c’è il rischio di incontrollata perdita dei dati personali contenuti nei RAEE (rifiuti apparecchiature elettriche ed elettroniche). Un rischio che può trasformarsi in furto di identità. Si tratta di un problema serio ed un rischio che si sta allargando in modo esponenziale, anche alla luce del diffondersi dell’Internet of Things.

=>RAEE: tutti gli obblighi per le imprese

Il tema e-waste, in questa ottica va ben oltre le implicazioni ambientali, considerato anche che lo scorso anno le imprese italiane hanno smaltito correttamente solo il 25% dei RAEE. Di fatto, neanche il dlgs. n. 49 del 14 marzo 2014, di attuazione della direttiva 2012/19/UE (disciplina del ciclo dei rifiuti) prende in considerazione i dati presenti nelle macchine dismesse, sebbene il Garante  Privacy, con un proprio parere del 13 ottobre 2008, precisa che ogni titolare del trattamento:

«è tenuto ad adottare appropriate misure organizzative e tecniche volte a garantire la sicurezza dei dati personali trattati, nonché la loro protezione nei confronti di accessi non autorizzati, che possono verificarsi in occasione della dismissione dei menzionati apparati elettrici ed elettronici».

Quindi, in occasione della dismissione o riciclo di RAEE si deve procedere all’effettiva cancellazione o trasformazione in forma non intelligibile dei dati personali negli stessi eventualmente memorizzati; nel caso in cui l’imprenditore faccia ricorso a soggetti terzi per lo smaltimento di tale materiale, questi ultimi si devono impegnare a porre in essere tali attività di cancellazione o trasformazione.

Tuttavia, poiché i produttori, distributori e centri di assistenza di apparecchiature elettriche ed elettroniche non risultano soggetti a specifici obblighi di distruzione dei dati personali ivi contenuti, sarà onere di chi smaltisce il RAEE di assicurarsi che detti soggetti si impegnino alla corretta eliminazione dei dati.

=Rifiuti elettronici: i punti deboli della gestione RAEE in Italia

La non corretta gestione ed eliminazione dei dati deve intendersi come un comportamento violativo delle prescrizioni in materia di misure minime di sicurezza.

Con il rischio di rilevanti sanzioni:

  • tanto a livello civile (se le misure da adottare si considerassero soltanto di carattere idoneo)
  • quanto penale (qualora si protendesse per l’inquadramento nelle misure minime di sicurezza).

Nel medesimo provvedimento l’Autorità ha anche ritenuto opportuno suggerire l’adozione di una serie di misure tecniche (anche in combinazione tra loro) per le macchine reimpiegate, riciclate e smaltite; suggerimenti forse datati ma che segnano linee guida utili:

  • memorizzazione sicura dei dati (per esempio cifratura dati);
  • cancellazione sicura (per esempio formattazione a basso livello o demagnetizzazione);
  • smaltimento corretto (per esempio distruzione dei supporti ottici).

=> Bilanciare privacy e sicurezza: consigli per le aziende

Già nel 2009 il Garante Europeo evidenziava il sostanziale fallimento dei provvedimenti adottati dalle Autorità nazionali (come quello richiamato) sottolineando la necessità di un coordinamento tra normativa Privacy e RAEE.

Nel 2010 ha espresso formalmente il proprio parere in merito ricordando i rischi a carico dei singoli individui e/o organizzazioni nella loro funzione di responsabili del trattamento nel caso in cui i RAEE, in particolar modo le apparecchiature informatiche e di telecomunicazione, contengano dati personali al momento dello smaltimento. L’Autorità ha sottolineato che:

«Il nuovo quadro giuridico sui rifiuti elettrici ed elettronici dovrebbe contenere non soltanto una disposizione specifica relativa al più ampio principio della progettazione ecocompatibile delle apparecchiature, bensì anche una disposizione riguardante il principio della «Tutela della vita privata fin dalla fase di progettazione» o, più esattamente in questo contesto, della “Sicurezza sin dalla progettazione”».

Dalla lettura della direttiva europea e dal d.lgs. n. 49 del 2014 si deve concludere che la posizione del Garante è rimasta ancora una volta inascoltata.

Sul punto va anche sottolineato che la recentissima normativa in materia di RAEE non fa alcun riferimento a tali problematiche, né pare che la Bozza di Regolamento Generale per la Protezione dei Dati (attualmente al vaglio della Commissione Europea) preveda alcunché, mentre potrebbe essere l’occasione per affrontare e risolvere, per quanto possibile, i problemi posti dall’e-waste