Facebook finisce in tribunale in Belgio per violazione della privacy

530f66886941b1a5aa07b9e4b73fdf74Nuova grana europea per Facebook. È di pochi minuti fa la notizia che il Garante per la privacy del Belgio ha deciso di portare il social network davanti ai giudici.

E addirittura la prima udienza è più che imminente: oggi, 18 giugno, secondo una fonte vicina alla commissione belga citata dal Wall Street Journal. Una battaglia legale che potrebbe avere risvolti importantissimi e scatenare un effetto domino dato che altri paesi come Germania, Olanda, Francia e Spagna stanno seguendo da vicino l’evoluzione di questa faccenda.

Nel mirino dell’ente di Bruxelles c’è il trattamento dei dati personali che, almeno secondo l’accusa, avverrebbe in netta violazione delle normative vigenti. Facebook non solo spiegherebbe in modo poco adeguato le finalità per le quali raccoglie i dati, ma in molte circostanze lo farebbe in gran segreto.

Al centro della vertenza c’è la modalità con la cui Facebook traccia gli utenti Internet su siti web esterni, attraverso l’utilizzo di tasti di like e condivisione. E il garante belga vuole capire se questa operazione porta a un rastrellamento di dati che potrebbero essere utilizzati per una pubblicità molto profilata.

La commissione vuole inoltre far chiarezza sull’utilizzo di questi dati da parte di Facebook per servizi come Instagram e WhatsApp.

L’indagine era partita qualche mese fa, con uno scambio di vedute fra l’autorità di Bruxelles e i vertici di Palo Alto:

  • Facebook aveva rispedito le accuse al mittente, parlando di utilizzo dei cookie come ogni altro sito web;
  • inoltre, l’ufficio legale del social di Zuckerberg, aveva fatto intendere di voler seguire le istruzioni delle autorità irlandesi, dove Facebook ha sede legale.

Nulla da fare. E ora parola ai giudici.

Annunci

Pagamenti con smartphone e tablet: più tutele per gli utenti

o2wallet-awards2Al via le nuove regole del Garante privacy: tutele per i minori, profilazione solo con consenso, dati protetti

Maggiori tutele per gli utenti che decideranno di effettuare acquisti di beni e servizi digitali utilizzando nuove forme di pagamento elettronico. Regole certe per le società del settore.

Il Garante privacy ha definitivamente adottato il Provvedimento [doc. web n. 3161560] (pubblicato ieri, 16 giugno 2014, sulla Gazzetta Ufficiale), che disciplina il trattamento dei dati personali di chi usufruisce dei cosiddetti servizi di mobile remote payment, utilizzando smartphone, tablet, pc, stabilendo un primo quadro organico di regole in grado di assicurare la protezione dei dati senza penalizzare lo sviluppo del mercato digitale.

Grazie alle nuove regole, che tengono conto anche delle indicazioni pervenute in sede di consultazione pubblica, gli utenti telefonici, sia in abbonamento sia con carta prepagata, potranno acquistare in sicurezza servizi, abbonarsi a quotidiani on line, comprare e-book, video e giochi con il proprio telefono o altri strumenti elettronici. I dati personali acquisiti per la transazione (dal numero telefonico ai dati anagrafici, dalle informazioni sul servizio o prodotto digitale richiesto all’indirizzo IP di collegamento) non potranno poi essere usati per altre finalità, come l’invio di pubblicità o analisi delle abitudini, senza lo specifico consenso degli utenti, e dovranno essere adeguatamente protetti dai rischi di uso fraudolento.

Le misure a tutela della privacy dovranno essere adottate da tutti i soggetti coinvolti nella fornitura del servizio di micropagamento:

  • gli operatori di comunicazione elettronica (ovvero le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare),
  • gli aggregatori (le società che forniscono l’interfaccia tecnologica),
  • i venditori (le aziende che offrono contenuti digitali e servizi);
  • nonché tutti gli altri soggetti eventualmente coinvolti nella transazione (come quelli che consentono, anche tramite apposite app, l’accesso al mercato digitale).

Ecco, in sintesi, le prescrizioni del Garante.

Informativa
Gli utenti dovranno essere informati sulle modalità di trattamento effettuato sui loro dati sin dalla sottoscrizione o adesione al servizio di pagamento da remoto.

Consenso
Le società non dovranno richiedere il consenso degli utenti per il trattamento dei dati relativi alla fornitura del servizio di remote mobile payment.

Il consenso è invece obbligatorio per la comunicazione dei dati personali a terzi oppure in caso di loro utilizzo per attività di marketing e profilazione.

Conservazione
I dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, potranno essere conservati al massimo per 6 mesi. L’indirizzo Ip dell’utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale.

Misure di sicurezza
Operatori, aggregatori e venditori saranno tenuti ad adottare precise misure per garantire la confidenzialità dei dati, quali:

  • sistemi di autenticazione forte per l’acceso ai dati da parte del personale addetto, e procedure di tracciamento degli accessi e delle operazioni effettuate;
  • criteri di codificazione dei prodotti e servizi;
  • forme di mascheramento dei dati mediante sistemi crittografici.

Ulteriori misure a tutela della privacy
Dovranno essere adottate misure al fine di impedire l’integrazione delle diverse tipologie di dati a disposizione dell’operatore telefonico (dal consumo telefonico ai dati sull’uso della tv interattiva) e di evitare la profilazione “incrociata” dell’utenza basata su abitudini, gusti e preferenze, a meno che non venga espresso uno specifico consenso informato da parte dell’utente.

I venditori, inoltre, per garantire maggiore riservatezza alle transazioni dei clienti, potranno trasmettere all’operatore telefonico solo le categorie merceologiche di riferimento dei prodotti digitali offerti senza indicazioni sullo specifico contenuto del prodotto o servizio acquistato, a meno che non sia necessario per la fornitura di servizi in abbonamento.

Dovranno essere previsti anche accorgimenti tecnici per disattivare servizi destinati ad un “pubblico adulto” e per inibirne l’accesso a minorenni.

Il Garante si riserva di intervenire nuovamente sui servizi di mobile payment tenendo conto di eventuali innovazioni, anche normative, di un settore in continua evoluzione.

Internet: Garante privacy, no ai cookie per profilazione senza consenso

image_gallery (1)In un banner le informazioni all’utente e la possibilità di scegliere quali cookie autorizzare

Stop all’installazione dei cookie per finalità di profilazione e marketing da parte dei gestori dei siti senza aver prima informato gli utenti e aver ottenuto il loro consenso. Chi naviga on line potrà quindi decidere in maniera libera e consapevole se far usare o no le informazioni raccolte sui siti visitati per ricevere pubblicità mirata.

Lo ha stabilito il Garante privacy con un Provvedimento generale [doc. web n. 3118884] pubblicato sulla Gazzetta ufficiale, adottato al termine di una consultazione pubblica,  nel quale ha individuato modalità semplificate per rendere agli utenti l’informativa on line sull’uso dei cookie e ha fornito indicazioni per acquisire il consenso, quando richiesto dalla legge.

Cosa sono i cookie?

I cookie sono piccoli file di testo che i siti visitati inviano al terminale (computer, tablet, smartphone, notebook) dell’utente, dove vengono memorizzati, per poi essere ritrasmessi agli stessi siti alla visita successiva.

Sono usati per:

  • eseguire autenticazioni informatiche,
  • monitoraggio di sessioni e memorizzazione di informazioni sui siti  (senza l’uso dei cookie “tecnici” alcune operazioni risulterebbero molto complesse o impossibili da eseguire).

Ma attraverso i cookie si può anche monitorare la navigazione, raccogliere dati su gusti, abitudini, scelte personali che consentono la ricostruzione di dettagliati profili dei  consumatori.

“Con questo provvedimento, maturato anche attraverso la consultazione dei vari stakeholder, diventa più facile il rispetto degli obblighi previsti dalla normativa europea” – commenta Antonello Soro, presidente del Garante privacy. “La procedura semplificata consentirà agevolmente ai navigatori di manifestare un consenso davvero libero e consapevole”.

alert-icon-redNuovi obblighi di informazione

Per proteggere la privacy degli utenti e consentire loro scelte più consapevoli, il Garante ha dunque stabilito che, d’ora in poi  quando si accede alla home page o ad un’altra pagina di un sito web deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente:

  1. che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
  2. che il sito consente anche l’invio di cookie di “terze parti”, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
  3. un link a una informativa più ampia, con le  indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente  o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
  4. l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link)  si presta il consenso all’uso dei cookie.

Per quanto riguarda l’obbligo di tener traccia del consenso dell’utente, al gestore del sito è consentito utilizzare un cookie tecnico, in modo tale da non riproporre l’informativa breve alla seconda visita dell’utente.

L’utente mantiene, comunque, la possibilità di modificare le proprie scelte sui cookie attraverso l’informativa estesa, che deve essere linkabile da ogni pagina del sito.

Il modello del banner

A mero titolo di esempio, il Garante ha predisposto il seguente modello di banner disponibile anche sul  sito del Garante

image_gallery

 

 

Biometria: il Garante detta le nuove regole e apre una consultazione

downloadSarà più semplice utilizzare tecnologie biometriche, come quelle per la lettura delle impronte o l’analisi della firma, per controllare accessi, per autenticarsi o per sottoscrivere documenti informatici. I soggetti pubblici e privati che si atterranno ai limiti e alle rigorose misure di sicurezza individuati dal Garante Privacy potranno infatti procedere direttamente nell’adozione di questi nuovi strumenti senza presentare, caso per caso, richiesta di verifica preliminare.

Con il nuovo provvedimento a carattere generale, l’Autorità ha individuato specifici casi in cui non sarà più necessario effettuare un interpello preventivo per l’adozione di tecnologie biometriche, definendo però un quadro di regole a tutela delle  libertà personali.

Sarà quindi consentito il rilevamento delle impronte digitali:

  • per l’accesso fisico ad aree riservate, oppure
  • per l’attivazione di dispositivi elettromeccanici ed elettronici.

Le impronte e la topografia della mano potranno essere usate anche per “usi facilitativi” (come, ad esempio, accesso banche e biblioteche), ma solo con il consenso degli interessati e purché siano garantite modalità alternative per chi non vorrà usare strumenti biometrici.

Potrà essere adottata senza interpello anche la firma grafometrica per la sottoscrizione di documenti informatici. Non si potranno, invece, realizzare archivi biometrici centralizzati o utilizzare i dati per finalità diverse da quelle specificate.

Logo-Garante-PrivacyL’Autorità ha inoltre messo a punto delle Linee-guida in materia di riconoscimento biometrico e firma grafometrica nelle quali vengono:

  • analizzati i vari tipi di trattamento biometrico esistenti, inclusi quelli per i quali permane l’obbligo delle verifica preliminare (lettura dell’iride o del tracciato venoso, riconoscimento facciale etc.) e
  • individuate, per ciascuna di queste tipologie, le modalità con cui possono essere trattati i dati e le specifiche misure di sicurezza, oltre a quelle già previste dal Codice della Privacy, che occorre adottare caso per caso.

Particolare attenzione viene rivolta dal Garante alla messa in sicurezza delle tecnologie mobili (come tablet o pc) che potrebbero più facilmente essere compromesse o smarrite.

Ogni eventuale violazione o perdita di dati biometrici dovrà, tra l’altro, essere tempestivamente comunicata al Garante per gli opportuni interventi a tutela delle persone.

yourvoice_defData la particolare delicatezza del tema, prima del varo definitivo del provvedimento e delle linee guida, l’Autorità ha deciso di sottoporre i testi a una consultazione pubblica.

Soggetti interessati, associazioni di categoria degli imprenditori e dei consumatori, università, centri di ricerca, potranno far pervenire contributi e osservazioni al Garante per posta o attraverso la casella di posta elettronica appositamente attivata: consultazione.biometria@gpdp.it

Il Garante privacy fissa le regole per partiti e movimenti politici

Elezioni-Europee-2014-634x396Partiti e movimenti politici più trasparenti sull’uso dei dati personali di iscritti, simpatizzanti, partecipanti alle “primarie”, semplici cittadini. Cittadini informati e messi in condizione di esercitare agevolmente i loro diritti.

Con un intervento a carattere generale il Garante per la privacy ha fissato un quadro organico di regole per la tutela della riservatezza in un ambito delicato e cruciale come quello dei partiti politici.

Queste, in sintesi, le regole alle quale le formazioni politiche dovranno attenersi nello svolgimento della loro normale attività e non solo in occasione degli appuntamenti elettorali.

 

Uso dei dati di aderenti e cittadini che hanno contatti regolari con i partiti

Partiti, movimenti, comitati per le “primarie” possono utilizzare senza consenso i dati di aderenti o di cittadini con cui intrattengono contatti regolari, purché gli scopi che intendono raggiungere siano individuati nello statuto o nell’atto costitutivo.

Serve invece il consenso scritto per comunicare i dati all’esterno (ad. es., ad altri partiti appartenenti alla stessa coalizione) o per diffonderli. La stessa regola vale per i comitati di promotori o sostenitori che devono avere il consenso degli aderenti per comunicare i dati a terzi.

 

Uso dei dati di simpatizzanti e partecipanti a singole iniziative

I dati personali raccolti in occasione di petizioni, proposte di legge, richieste di referendum possono essere utilizzati ed eventualmente comunicati e diffusi solo con il consenso scritto dei cittadini e a condizione che abbiano ricevuto una informativa dettagliata. Stessa regola vale per la comunicazione a terzi e la diffusione dei dati di coloro che erogano finanziamenti e contributi, salvo i casi previsti dalla legge (ad es. obbligo per i partiti di tramettere alla Presidenza della Camera dei deputati l’elenco dei propri sovventori).

 

Informativa chiara e puntuale: predisposto anche un modello dal Garante

L’informativa deve essere resa al momento dell’adesione al partito o al movimento politico o prima della raccolta dei dati  in occasione  di singole iniziative (petizioni, proposte di legge, referendum). Nell’informativa devono essere indicate le finalità della raccolta dei dati, l’ambito di circolazione all’interno del partito o del movimento e l’eventuale possibilità di comunicazione all’esterno. Per agevolare il compito il Garante ha predisposto e messo a disposizione il seguente modello di informativa agile e di immediata comprensione.

INFORMATIVA

(art. 13 del Codice in materia di protezione dei dati personali)

“I dati da Lei conferiti (per es. all’atto dell’iscrizione al partito, della sottoscrizione di una petizione) saranno utilizzati, anche con strumenti informatici, da (indicare il titolare e l’/gli eventuale/i co-titolare/i del trattamento) a fini di (indicare le specifiche finalità) e non saranno comunicati a terzi o resi a loro conoscibili (in alternativa, indicare sinteticamente i soggetti o le categorie di soggetti destinatari dei dati, nell‘eventuale veste di responsabili o di autonomi titolari), né diffusi (in alternativa, specificare l’ambito della diffusione).

Il conferimento dei Suoi dati è (specificare se obbligatorio o facoltativo) ed un Suo eventuale rifiuto potrebbe (specificare le conseguenze, es. compromettere l’espletamento di determinate attività).

Le ricordiamo che potrà esercitare i diritti di cui all’art. 7 del Codice (es. accedere in ogni momento ai Suoi dati, chiederne l’origine, l’aggiornamento, la rettificazione, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge) rivolgendosi a (indicare le coordinate del titolare o del responsabile, ove designato, per il riscontro all’interessato in caso di esercizio dei diritti di cui all’art. 7).

L’elenco aggiornato dei responsabili del trattamento, è disponibile presso (indicare il sito web o le modalità per prenderne conoscenza)”.

 

Garanzie per i cittadini e misure di sicurezza

L’iscritto, l’aderente, il semplice cittadino, chi sovvenziona il partito o il movimento ha diritto di accedere ai propri dati personali, ad aggiornarli o rettificarli; può conoscere i soggetti cui possono essere comunicati, e opporsi, in ogni momento, alla ricezione di materiale elettorale.

 

Regole per la propaganda elettorale

Confermate in massima parte le regole già stabilite per precedenti consultazioni elettorali:

  • utilizzabili liberamente le liste elettorali;
  • serve il consenso per sms, e-mail, mms, telefonate preregistrate e fax;
  • non possono essere mai utilizzati gli archivi dello stato civile, l’anagrafe dei residenti, le liste elettorali già utilizzate nei seggi o in cui vi siano dati annotati dagli scrutatori.

Nel caso in cui si avvalgano di  società che forniscono liste di nominativi o servizi di propaganda elettorale, i partiti hanno l’obbligo di verificare il corretto trattamento dei dati.

In un’ottica di semplificazione e contemperamento degli interessi, l’Autorità ha esonerato in via definitiva partiti, movimenti, comitati e singoli candidati, che fanno propaganda elettorale utilizzando fonti pubbliche (ad es. le liste elettorali), dall’obbligo di rendere l’informativa dal sessantesimo giorno precedente la data delle consultazioni politiche, amministrative, referendarie o delle “primarie” al sessantesimo giorno successivo. Nel materiale inviato dovrà essere comunque indicato un recapito per l’esercizio dei diritti riconosciuti dal Codice privacy.

 

Firma biometrica in mobilità a prova di privacy

Il Garante autorizza due nuovi sistemi per la firma dei clienti sui tablet dei promotori finanziari

t01IM01Due banche potranno dotare i loro promotori finanziari di tablet in grado di analizzare i dati biometrici della firma apposta dai clienti che desiderano sottoscrivere contratti finanziari a distanza. Tutte le società coinvolte nell’abilitazione e nella gestione dei due sistemi dovranno:

  • adottare particolari misure a tutela dei dati raccolti e  
  • garantire ai clienti la possibilità di sottoscrivere i contratti anche attraverso modalità tradizionali.

Gli istituti di credito hanno sottolineato che l’utilizzo della firma biometrica consentirebbe di ridurre il rischio di frodi, in particolare quelle legate al furto di identità, di contenzioso rispetto all’eventuale disconoscimento della firma, nonché di snellire e velocizzare le operazioni effettuate per il tramite dei promotori finanziari.

downloadPrimo sistema

Il primo sistema (Servizio di firma digitale remota con autenticazione biometrica. Verifica preliminare richiesta da Telecom Italia Trust Technologies s.r.l. e Banca Generali S.p.A. – 23 gennaio 2014), autorizzato dal Garante privacy a seguito di verifica preliminare, prevede che il promotore finanziario faccia firmare il cliente sul tablet a fini di riconoscimento. L’analisi delle caratteristiche “dinamiche” della firma  apposta sul tablet (pressione, accelerazione e inclinazione) viene confrontata con i parametri già acquisiti da una società di certificazione: in caso di corrispondenza il cliente viene così autenticato e può sottoscrivere con un’apposita firma digitale il contratto proposto dall’operatore finanziario.

fineco-bank-1136475Secondo sistema

Nel secondo sistema (Sistema per la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti da una banca – Verifica preliminare richiesta da Fineco Bank S.p.A. – 12 settembre 2013), invece, la firma (cosiddetta “grafometrica”) apposta sul tablet non serve per autenticarsi ma per sottoscrivere direttamente il documento attraverso modalità eventualmente riconducibili a una firma elettronica avanzata.

Il contratto viene poi inviato e conservato in modalità cifrata da società incaricate della gestione documentale. In caso di contenzioso, e solo su specifica richiesta dell’autorità giudiziaria, questo sistema consente di utilizzare i dati biometrici raccolti per poter riprodurre in chiaro la firma di fronte a un perito grafologo che possa certificarne l’autenticità.

Prescrizioni del Garante

Il Garante, nell’autorizzare i due progetti, ha però richiesto l’adozione di particolari cautele a difesa dei dati  biometrici degli utenti, anche in considerazione del fatto che parte del trattamento avverrà attraverso strumenti, tablet, che possono essere utilizzati “in mobilità”, al di fuori delle sedi degli istituti bancari.

Le banche e le società fornitrici del servizio dovranno quindi proteggere anche i tablet utilizzati dai promotori finanziari, impedendo ad esempio:

  • che possano essere installati software non autorizzati o
  • che vengano infettati da virus informatici.

Il contenuto dei tablet dovrà poter essere completamente cancellato da remoto (“remote wiping”) nel caso in cui questi strumenti vengano manomessi, smarriti o rubati.

L’Autorità ha poi sottolineato che:

  • i dati biometrici dei clienti potranno essere utilizzati esclusivamente per le finalità connesse alla sottoscrizione dei contratti  
  • dovrà essere comunque prevista la possibilità di sottoscrivere i contratti con firma “tradizionale” su moduli cartacei.

No al far west nel mercato del lavoro su Internet

ricerca-lavoro-onlineIntervento a tutela di migliaia di aspiranti lavoratori iscritti ad un sito web: maggiore trasparenza e correttezza nel mercato del lavoro via Internet.

E’ quanto chiede il Garante privacy [doc. web n. 2865637] che ha vietato ad una società l’uso dei dati personali di oltre 400 mila aspiranti lavoratori raccolti e gestiti in modo illecito.

La società che svolgeva attività di intermediazione attraverso il proprio sito web senza la prescritta autorizzazione ministeriale, non aveva neppure conferito, come necessario, i dati dei candidati a Cliclavoro, il portale del Ministero del lavoro che costituisce la Borsa continua nazionale del lavoro. 

L’azienda raggiunta dal divieto del Garante non si limitava a mettere a disposizione una mera “bacheca digitale” in cui rendere pubbliche le offerte di lavoro e le candidature, ma offriva veri e propri servizi di intermediazione (consultazione di un database con centinaia di migliaia di curricula, comunicazione di informazioni sui candidati, invio di offerte di lavoro “su misura”, ecc.). Un’attività effettuata, peraltro, senza fornire agli utenti che si registravano al sito una informativa trasparente con l’indicazione di tutte le operazioni realmente svolte.

La grave situazione è emersa nel corso di verifiche ispettive disposte dall’Autorità a seguito di alcune segnalazioni in cui si lamentavano irregolarità nel trattamento dei dati personali. I candidati denunciavano il fatto che per poter completare la procedura di registrazione al sito e concorrere così alle offerte di lavoro erano obbligati a dare il consenso, tramite un’opzione preselezionata, alla ricezione di informazioni promozionali per posta, telefono, email, sms.

Judge_HammerAlla luce delle verifiche svolte, il Garante:

  • oltre ad inibire l’uso dei dati raccolti senza autorizzazione,
  • ha dichiarato illeciti e ha vietato anche questi trattamenti perché effettuati in violazione della norma del Codice privacy che garantisce a chiunque la possibilità di esprimere un consenso libero e informato per ogni tipo di operazione che la società intende svolgere.

Dopo l’intervento del Garante la società non potrà più utilizzare le informazioni raccolte né per attività di intermediazione né per attività promozionali.

I dati potranno essere solo conservati in vista di un’eventuale acquisizione da parte dell’autorità giudiziaria o per la tutela dei diritti in sede giudiziaria. L’Autorità si è riservata l’applicazione di una sanzione amministrativa per l’inidonea informativa agli utenti. Il provvedimento è stato inviato al Ministero del lavoro per le valutazioni di competenza