Dai Garanti privacy del mondo un piano per l’educazione digitale

app_privacyAttenzione ai rischi di “appificazione” della società: i Garanti del mondo varano un piano per l’educazione digitale.

Si è conclusa ieri, con l’adozione di ben otto Risoluzioni, la 35ma Conferenza internazionale sulla privacy che ha visto riunite a Varsavia le Autorità garanti per la protezione dei dati di tutto il mondo.

Particolare interesse riveste la Risoluzione, sostenuta con forza dal Garante italiano, con la quale la Conferenza ha adottato un programma comune che impegna i governi a promuovere  l’educazione digitale di tutti i cittadini, senza distinzione di età, esperienza o ruolo rivestito.

Principi

Il programma fissa cinque principi:

  1. assicurare una protezione particolare ai minori nel mondo digitale;
  2. garantire una formazione permanente sulla tecnologia digitale;
  3. raggiungere un giusto equilibrio tra opportunità e rischi presenti nella tecnologia digitale;
  4. promuovere il rispetto degli utenti;
  5. diffondere un pensiero critico sull’uso delle nuove tecnologie.

Obiettivi

A sostegno di questi principi i Garanti dei diversi continenti hanno individuato anche quattro obiettivi operativi:

  1. promuovere, nell’ambito dei programmi di alfabetizzazione digitale, una educazione sulla privacy;
  2. giocare un ruolo nella “formazione dei formatori” in materia di protezione dei dati personali;
  3. sviluppare settori particolarmente innovativi, specialmente nel campo della “privacy by design”;
  4. formulare raccomandazioni e buone pratiche sull’uso delle nuove tecnologie a favore di genitori, insegnanti, minori, aziende.

Altre tematiche affrontate

Le altre Risoluzioni hanno riguardato una serie di importanti questioni:

  • la necessità che imprese e governi assicurino la massima trasparenza nel trattamento dei dati dei cittadini;
  • l’esigenza che l’attività di profilazione si basi su una preliminare valutazione di impatto-privacy, garantisca trasparenza agli interessati e ponga particolare attenzione alla tutela dei minori;
  • l’attenzione da porre ai rischi legati più in generale al ricorso crescente al tracciamento della navigazione sul web (web tracking), che deve essere reso più trasparente ed ispirarsi ai principi detti di “privacy by design”;
  • l’obiettivo di pervenire ad un maggiore coordinamento tre le Autorità per aumentare l’efficacia delle attività di enforcement;
  • la necessità di adottare un piano strategico di azione per il biennio 2014-2015 finalizzato innanzitutto alla creazione di una rete globale di regolatori;
  • la necessità di un accordo internazionale vincolante che salvaguardi i diritti umani attraverso un corretto equilibrio tra sicurezza, interessi economici e libertà di espressione.

yellow_button_35_Int_Conf

La Conferenza ha anche adottato una dichiarazione sui rischi e le sfide posti dal crescente uso delle app tanto da permettere di parlare di una vera e propria “appificazione” della società.

 

Annunci

Dear Mr. Page… I Garanti del mondo a Big G: i “Google Glass” rispettino la privacy dei cittadini

pg-46-google-glasses-apLe Autorità di garanzia scrivono a Larry Page:  subito chiarimenti e l’avvio di un confronto.

Quali informazioni raccoglie Google attraverso i “Glass”, i famosi occhiali a realtà aumentata? Con chi le condivide? Come intende utilizzarle? Come viene  garantito il rispetto delle legislazioni sulla privacy? Come pensa Google di risolvere il problematico aspetto della raccolta di informazioni di persone che, a loro insaputa, vengono “riprese” e “registrate” tramite i Glass?

Sono solo alcune delle questioni che le Autorità di protezione dati di diversi continenti riunite nel GPEN (Global Privacy Enforcement Network), hanno messo nero su bianco in una lettera inviata alla multinazionale californiana sullo sviluppo di Google Glass, una tecnologia in via di sperimentazione legata all’elaborazione elettronica dei dati, indossabile sotto forma di occhiali, che comprende una microcamera, un microfono ed un dispositivo Gps con accesso ad Internet.

Le Autorità per la privacy, tra le quali il Garante italiano, hanno espresso preoccupazione riguardo all’impatto privacy che può derivare dall’uso dei Google Glass e forti timori sul possibile futuro uso di sistemi di “riconoscimento facciale”.

Le Autorità hanno quindi chiesto alla società un sollecito riscontro

  • sulle implicazioni privacy legate allo sviluppo di questa nuova tecnologia e
  • sulle misure che intende prendere per garantire il rispetto della vita privata in tutti i Paesi del mondo.

Google è stata invitata ad un confronto, attraverso incontri e dimostrazioni pratiche sull’uso dei “super-occhiali”. Nonostante  l’esigenza più volte affermata che la privacy sia parte integrante della progettazione di ogni prodotto e servizio prima del lancio, nessuna Autorità di protezione dati è stata sentita dalla multinazionale e le uniche informazioni di cui dispongono i Garanti, derivano in gran parte dai media o dalla pubblicizzazione del dispositivo ad opera della stessa Google.

“Le nuove tecnologie sono state sempre connotate dal binomio “opportunità-rischi” – afferma Antonello Soro, Presidente del Garante privacy – ma certo i Google Glass lasciano prevedere grandi pericoli per la vita privata. Chiunque  finisse nel raggio visivo di chi indossa questi occhiali – continua Soro – potrebbe, a quanto è dato sapere, venire fotografato, filmato, riconosciuto e, una volta avuto accesso ai suoi dati sparsi sul web, individuato nei suoi gusti, nelle sue opinioni, nelle sue scelte di vita. La sua vita gli verrebbe in qualche modo sottratta per finire nelle micro memorie degli occhiali o rilanciata in rete. Ci sono già norme che vietano la messa on line di dati personali senza il consenso degli interessati. Ma di fronte a questi strumenti le leggi non bastano: serve un salto di consapevolezza da parte di fornitori di servizi Internet, degli sviluppatori di software e degli utenti. E’ indispensabile ormai riuscire a promuovere a livello globale un uso etico delle nuove tecnologie.

 

Privacy e app: le Authority europee intervengono

impatto-ambientale-di-smartphone-e-tabletIl consenso libero ed informato degli utenti finali è essenziale per garantire il rispetto della legislazione europea sulla protezione dei dati.

Le Autorità europee per la protezione dei dati, riunite nel Gruppo Articolo 29, hanno adottato un parere che esamina i rischi fondamentali per la protezione dei dati derivanti dalle applicazioni per terminali mobili. Nel parere sono indicati gli obblighi specifici che, in base alla legislazione Ue sulla privacy, sviluppatori, ma anche distributori e produttori di sistemi operativi e apparecchi di telefonia mobile, sono tenuti a rispettare. Particolare attenzione viene posta nel parere alle applicazioni rivolte ai minori.

Chi possiede uno smartphone ha normalmente attive in media circa 40 applicazioni. Queste applicazioni sono in grado di raccogliere grandi quantità di dati personali: ad esempio, accedendo alle raccolte di foto oppure utilizzando dati di localizzazione

MobileApplicationsApps carousel-304I rischi per la privacy delle applicazioni per smartphone

Gli smartphone e i tablet contengono grandi quantità di dati molto personali che riguardano direttamente o indirettamente gli utenti: indirizzi, dati sulla localizzazione geografica, informazioni bancarie, foto, video. Smartphone e tablet sono, inoltre, in grado di registrare o catturare in tempo reale varie tipologie di informazioni attraverso molteplici sensori quali microfoni, bussole o altri dispositivi utilizzati per tracciare gli spostamenti dell’utente. Anche se l’obiettivo degli sviluppatori è rendere disponibili servizi nuovi e innovativi, le app possono comportare rischi significativi per la privacy e la reputazione degli utenti.

La legislazione sulla privacy Ue prevede che ogni persona ha il diritto di decidere sui propri dati personali. Le applicazioni, dunque,  per trattare i dati degli utenti devono:

  • prima fornire informative adeguate, in modo da
  • ottenere un consenso che sia veramente libero e informato.

Un altro rischio per la protezione dei dati deriva da misure di sicurezza insufficienti. Insufficienza che  può comportare trattamenti non autorizzati di dati personali a causa della tendenza a raccogliere quantità sempre più consistenti di informazioni e della elasticità e genericità degli scopi per i quali queste vengono raccolte, ad esempio a fini di  “ricerche di mercato”. Tutto ciò aumenta la possibilità di violazioni dei dati.

2-22-2011appstoresObblighi e raccomandazioni

Il parere individua precise raccomandazioni e obblighi per ciascuno degli attori coinvolti, evidenziando che la protezione di dati personali degli utenti e la relativa sicurezza sono il risultato di azioni coordinate di sviluppatori, produttori dei sistemi operativi e distributori (“app stores”)  che devono durare nel tempo, e non la semplice applicazione di regole una tantum. In particolare, sono richiamati gli obblighi sull’informativa e sul consenso riguardo:

  • all’archiviazione di informazioni sui terminali degli utenti,
  • per l’utilizzo da parte delle app di dati di localizzazione o delle rubriche dei contatti.

best practiseBest practices

Si raccomandano inoltre alcune “buone pratiche” che devono intervenire sin dalle fasi iniziali di sviluppo delle app, quali:

  • l’impiego di identificativi non persistenti, in modo da ridurre al minimo il rischio di tracciamenti degli utenti per tempi indefiniti,
  • la definizione di precisi tempi di conservazione dei dati raccolti,
  • l’impiego di icone “user friendly” per segnalare che specifici trattamenti di dati sono in corso (ad es. dati di geolocalizzazione).

In caso di app rivolte specificamente ai minori, si ribadisce la necessità del consenso dei genitori.

Si sottolinea, infine, la necessità di una più efficace assistenza all’utente mediante la designazione di “punti di contatto” presso gli “stores” che consentano agli utenti di risolvere in modo rapido problemi legati al trattamento di dati personali da parte delle app installate.

 

Privacy: Google non rispetta le regole!

I Garanti europei a Google: le nuove regole privacy non rispettano la Direttiva europea: Informative agli utenti insufficienti e incrocio dei dati fuori controllo

Le nuove regole sulla privacy decise da Google non sono adeguate a tutelare gli utenti europei. Lo affermano i Garanti Ue che hanno chiesto alla società di Mountain View:

  • di farsi parte attiva nella tutela della privacy e
  • di rendere conforme alla Direttiva sulla protezione dei dati personali le nuove regole, operative dallo scorso marzo.

La nuova “privacy policy, adottata unilateralmente da Google, consente alla società di incrociare in via generalizzata i dati degli utenti che utilizzano qualsiasi servizio (da Gmail a YouTube a Google Maps solo per citarne alcuni).

La lettera inviata a Google, sottoscritta dai Presidenti di tutte le Autorità per la protezione dei dati personali dell’Ue, Italia inclusa, conferma le forti preoccupazioni espresse nei mesi scorsi sui possibili rischi per la privacy degli utenti europei derivanti dall’attività di combinazione dei dati.

Le criticità

Sono numerosi infatti i profili di criticità emersi dagli accertamenti, condotti anche con la collaborazione di Google, e “permangono – come scrivono i Garanti Ue – alcune aree grigie”.

Google usa i dati degli utenti:

  • raccogliendoli in maniera massiva e su larghissima scala
  • in alcuni casi senza il loro consenso
  • conservandoli a tempo indeterminato
  • non informando adeguatamente gli utenti su quali dati personali vengono usati e per quali scopi
  • non consentendo quindi di capire quali informazioni siano trattate specificamente per il servizio di cui si sta usufruendo.

Le Autorità raccomandano a Google di adottare rapidamente una serie di garanzie a tutela della privacy degli utenti.

 

Le richieste dei Garanti europei

Mountain View dovrebbe, in particolare:

  • inserire informative privacy all’interno dei singoli prodotti, anche mediante dispositivi informatici;
  • fornire informazioni accurate riguardo ai dati più a rischio, come quelli sulla localizzazione e quelli sui pagamenti on line;
  • adattare le informative alle tecnologie mobili.

L’incrocio dei dati degli Utenti

Google dovrebbe chiarire agli utenti, inoltre, le finalità e le modalità di combinazione dei dati tratti dai vari servizi forniti e mettere quindi a punto strumenti per consentire agli utenti un più stretto controllo sui propri dati personali.

A tale scopo, i Garanti raccomandano alla società di adottare meccanismi semplificati di “opt out” (opposizione al trattamento dei loro dati), sia che l’utente sia iscritto o meno ad un servizio, e di ottenere il consenso espresso degli utenti all’incrocio dei dati.

L’Autorità Garante italiana, che ha incontrato nei giorni scorsi i rappresentanti di Google, sta seguendo con grande attenzione gli sviluppi della questione.

“Google tratta i dati di milioni di utenti sparsi nel mondo i quali non sempre sono consapevoli dell’uso che viene fatto delle loro informazioni personali. Per questo è indispensabile che operi in modo corretto e nel rispetto dei diritti fondamentali, così come riconosciuti dall’Unione europea” – afferma il Presidente dell’Autorità italiana, Antonello Soro. “L’azione coordinata delle Autorità europee svolta nei confronti di Google rappresenta in questo senso un messaggio importante ai grandi colossi della rete affinché accettino la sfida di una nuova policy più responsabile e attenta alla dignità delle persone”.

 

Profilazione dei Clienti e Privacy: limiti e opportunità

Il valore aggiunto delle informazioni

Poter utilizzare i dati personali dei propri Clienti significa poter trasformare in business qualcosa che rischia di rimanere materia inerte nei database o, peggio, negli archivi dell’Azienda.

Che cosa posso fare dei dati personali dei miei Clienti?

Tutto… o quasi, ma a certe condizioni. Le condizioni, oltre alla consueta correttezza e trasparenza nella gestione dei rapporti con la propria clientela, sono il rispetto dei paletti fissati dalla legge sulla privacy, il DLgs 196/2003 e successivi Provvedimenti del Garante.

Quando un’Azienda deve rispettare la normativa privacy?

Sempre, ovvero: dal momento in cui raccoglie anche una sola informazione che riguarda un proprio Cliente, dal nome e cognome, all’indirizzo email, ai gusti personali, alle abitudini, fino al momento, incluso, della sua cancellazione.

Come essere in regola?

Oltre a rendere idonea Informativa e chiedere il consenso al trattamento (comunicare al Cliente perché gli chiediamo delle informazioni, che cosa ne faremo, e chiedere il permesso ad utilizzarle), per la profilazione è richiesto un adempimento in più: la Notificazione al Garante privacy.

La Notificazione al Garante

Chiunque tratti dati personali con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’Interessato, o ad analizzare abitudini o scelte di consumo (i.e. profilazione dei clienti, etc), (…) deve, prima di iniziare ad utilizzare le informazioni, effettuare la notificazione del trattamento attraverso il sito web del Garante. In poche parole: attraverso la compilazione di form online, l’Azienda comunica all’authority privacy i propri dati identificativi e il tipo di trattamento che ha intenzione di iniziare. Le informazioni verranno poi pubblicate sul Registro pubblico delle Notificazioni, liberamente accessibile a chiunque.

Cosa accade se ometto la notificazione o la presento in ritardo o incompleta?

Non si scherza: chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da € 8.000 a € 480.000.

In conclusione

La normativa sulla privacy, oltre ad essere un obbligo di legge presidiato da sanzioni sia di carattere amministrativo che penale, deve rappresentare un’importate occasione per la Aziende ai fini di un fidelizzazione improntata ad un’esigenza di trasparenza e correttezza sempre più sentita dai consumatori.

Dal sondaggio che la Harris Interactive, specializzata nei sondaggi di opinione on-line, ha condotto sul finire del 2001 per conto di Privacy & American Business risulta che 8 consumatori su 10 (83%) interromperebbero ogni rapporto con un’impresa se venissero a sapere (ad esempio, attraverso articoli di stampa) che quell’impresa fa un uso scorretto dei dati sulla Clientela.

 

 

 

Fisco: si del Garante Privacy ai controlli sui conti correnti

Fisco: sí del Garante Privacy agli schemi di provvedimento dell’Agenzia delle entrate sui conti correnti dei cittadini e sulla partecipazione dei Comuni alla lotta all’evasione fiscale. Necessaria una rigorosa protezione dei dati.

L’Autorità Garante per la privacy, nella riunione di ieri, ha espresso il previsto parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate riguardante le modalità con le quali le banche dovranno comunicare a fini di controllo fiscale all’Agenzia le informazioni relative ai conti correnti bancari  e ha indicato le misure di sicurezza necessarie alla protezione dei dati dei cittadini italiani.

Quali Informazioni?

Le banche dovranno comunicare all’Agenzia delle entrate le seguenti ingormazioni:

  • saldo iniziale e finale
  • importi totali degli accrediti e degli addebiti delle numerose tipologie di operazioni effettuate.

Il Garante, nel suo parere, ha innanzitutto evidenziato che non è in discussione l’esigenza di disporre delle informazioni necessarie per l’azione di contrasto all’evasione fiscale, ma ha rilevato che l’ingente flusso di dati e la loro concentrazione presso un unico soggetto rende indispensabili misure di sicurezza di natura tecnica ed organizzativa particolarmente rigorose, sia per la trasmissione dei dati che per la loro conservazione.

L’Autorità ha dunque chiesto all’Agenzia delle entrate di integrare lo schema con una dettagliata serie di misure di sicurezza.

Gli operatori finanziari e le banche dovranno, in particolare:

  • adottare meccanismi di cifratura durante tutti i passaggi interni, 
  • limitare l’accesso ai file ad un numero ristretto di incaricati, 
  • aggiornare costantemente i sistemi operativi e i software antivirus e antintrusione, 
  • prevedere solo in forma cifrata l’eventuale conservazione dei dati. 


L’Agenzia delle entrate, da parte sua, dovrà predisporre canali telematici adeguati alla comunicazioni di una elevata quantità di dati, privilegiando l’interconnessione diretta con i sistemi informativi di banche e istituti finanziari, preoccupandosi di fornire agli operatori finanziari indicazioni e accorgimenti per la predisposizione dei file da inviare.

I tempi di conservazione dei dati presso l’Anagrafe tributaria dovranno essere specificati e, una volta scaduti, dovrà essere prevista la cancellazione automatica.

Infine, il Garante si è riservato di effettuare una verifica preliminare sul provvedimento del Direttore dell’entrate con il quale saranno definiti i criteri e gli specifici tipi di dati che saranno usati per l’elaborazione delle liste di contribuenti a maggior rischio di evasione.

 

 

Comuni e lotta all’evasione fiscale

L’Autorità ha, inoltre, dato parere favorevole ad un altro schema di provvedimento del Direttore dell’Agenzia delle entrate riguardante le modalità tecniche di accesso da parte dei Comuni alle banche dati e di trasmissione delle dichiarazioni dei contribuenti ai fini della partecipazione dei Comuni stessi all’accertamento fiscale e contributivo.

L’Autorità ha richiesto:

  • l’adozione di misure tecniche e organizzative a protezione dei dati dei cittadini, e 
  • l’integrazione dello schema in particolare con la definizione delle modalità di accesso alle banche dati dell’Agenzia del territorio e dell’Inps (limitatamente a questo aspetto, il Garante ha chiesto che lo schema gli venga nuovamente sottoposto).

Con i due pareri, e ferma restando l’adozione delle misure di sicurezza indicate, il Garante ha dato così via libera alla piena e completa attuazione del decreto “Salva Italia” nella parte in cui incrementa i dati a disposizione dell’Agenzia delle entrate per la lotta all’evasione fiscale.

 

La Nuova Privacy Europea

Portabilità del dato, obbligo per le Aziende di nominare un “Data Protection Officer” e di redigere un “Privacy Impact Assessment”, queste alcune tra le più rilevanti novità della privacy prossima (e dietro l’angolo) che maggiormente andranno ad impattare sui Modelli privacy  adottati in Azienda. 

Ma diamo un’occhiata più da vicino.

Il 25 gennaio 2012 la Commissione europea ha presentato ufficialmente le proposte relative al nuovo quadro giuridico europeo in materia di protezione dei dati. Si tratta di un Regolamento, che andrà a sostituire la vecchia direttiva 95/46/CE, e di una Direttiva che dovrà disciplinare i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE).

Sul sito della Direzione Generale “Giustizia”  sono raccolte tutte le informazioni e la documentazione pertinenti: http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm.

Va ricordato che i Regolamenti UE sono immediatamente esecutivi, non necessitando di recepimento da parte degli Stati membri, a differenza delle direttive. Per lo stesso motivo essi possono garantire una maggiore armonizzazione a livello dell’intera UE. 

 

Il Regolamento

Queste, in sintesi, alcune tra le maggiori novità della proposta di Regolamento:

  • restano ferme le definizioni fondamentali, ma con alcune significative aggiunte (dato genetico, dato biometrico);
  • viene introdotto l’obbligo di nominare un “data protection officer” (incaricato della protezione dati, secondo la terminologia della direttiva 95/46) per tutti i soggetti pubblici e per quelli privati al di sopra di un certo numero di dipendenti, mentre scompare l’obbligo per i titolari di notificare i trattamenti di dati personali;
  • viene introdotto il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE;
  • si stabilisce il diritto degli interessati alla “portabilità del dato” (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) ma anche il “diritto all’oblio”, ossia di decidere quali informazioni possano continuare a circolare (in particolare nel mondo online) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge, per garantire l’esercizio della libertà di espressione, per consentire la ricerca storica);
  • viene introdotto il requisito del “privacy impact assessment” (valutazione dell’impatto-privacy) oltre al principio generale detto “privacy by design” (cioè la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software);
  • si stabilisce l’obbligo per tutti i titolari di notificare all’autorità competente le violazioni dei dati personali (“personal data breaches”);
  • si fissano più specificamente poteri (anche sanzionatori) e requisiti di indipendenza delle autorità nazionali di controllo, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati personali.

 

La Direttiva

Per quanto riguarda la proposta di Direttiva, essa sostituirà, una volta adottata, la Decisione-Quadro (la 2008/977/GAI) attualmente in vigore che disciplina i trattamenti di dati da parte delle autorità giudiziarie e di polizia.

Va sottolineato che le disposizioni della Direttiva si applicheranno, in via generale, a tutti i trattamenti di dati personali svolti in uno Stato Membro per tali finalità “istituzionali”, mentre la Decisione-Quadro disciplina esclusivamente lo scambio di dati fra autorità competenti degli Stati Membri ed il trattamento successivo dei dati scambiati in tale contesto.

La Direttiva riprende l’impostazione del Regolamento che richiama in molte delle sue previsioni, a cominciare dalle definizioni di interessato, dato personale, trattamento, titolare del trattamento ecc.. Essa  contiene, tuttavia, disposizioni specifiche sulle responsabilità dei titolari e sugli obblighi che ad essi incombono in materia di trasparenza ed accesso, e fissa i criteri di legittimità dei trattamenti in oggetto nonché i meccanismi di mutua cooperazione e i poteri delle autorità nazionali di controllo. Come già ricordato, le sue disposizioni dovranno essere recepite attraverso apposite norme nazionali.

L’iter per l’approvazione definitiva dei due strumenti normativi proposti comporterà l’intervento congiunto di Parlamento europeo e Consiglio UE in base alla procedura detta di “codecisione” (ora definita dal Trattato di Lisbona “procedura legislativa”).