Schiaffo a Facebook: la Corte Ue blocca l’accordo con gli Usa sullo scambio di dati.

I singoli Stati dell’Unione Europea potrebbero fermare il trasferimento dei dati degli iscritti europei a Facebook verso server situati negli Stati Uniti.

È quanto ha stabilito la Corte di giustizia europea accogliendo le conclusioni dell’avvocato generale della Corte. È stata quindi dichiarata invalida la decisione della Commissione Ue del 2000 secondo cui gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali.

La causa era stata presentata contro Facebook nel 2011 da Max Schrems, cittadino austriaco attivista per i diritti della privacy, dopo il Datagate, lo scandalo delle intercettazioni illegali da parte dei servizi segreti americani che aveva rivelato lo spionaggio di diversi leader europei.

Le conseguenze della sentenza sono importanti e coinvolgono giganti di Internet come Facebook e Google, che ora potrebbero essere costretti a sottoporsi allo scrutinio delle autorità di regolamentazione della privacy di ogni Stato membro della Ue e obbligati a immagazzinare i dati in Europa. Questo potrebbe tradursi in un vero e proprio labirinto burocratico perché le società americane dovranno seguire oltre 20 diverse regole nazionali di tutela della privacy.

La Corte ha fatto presente che negli Usa le esigenze della sicurezza nazionale prevalgono «sul regime dell’approdo sicuro» per i dati privati dei cittadini europei. Per questo i colossi del web sono obbligati a derogare «senza limiti, alle norme di tutela previste» con il rischio di «ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone».

Per la Corte di Lussemburgo, «una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata».

Facebook raccoglie i dati dei suoi utenti europei in un server che ha base in Irlanda e poi li trasferisce negli Stati Uniti. Con questa sentenza, la Corte Ue ha rimesso alle autorità di controllo di Dublino di «esaminare la denuncia» del cittadino austriaco e di valutare se sia necessario «sospendere il trasferimento dei dati degli iscritti europei verso gli Stati Uniti, poiché gli Usa non offrono un livello di protezione adeguato dei dati personali».

«Questo è una cattiva notizia per il commercio tra Usa e Stati Uniti», ha dichiarato Richard Cumbley, Global Head di tecnologia, media e telecomunicazioni presso studio legale Linklaters. «Senza Safe Harbor, le imprese saranno chiamate a trovare accordi».

Questa decisione potrebbe segnare la fine del Safe Harbor, l’intesa sottoscritta nel 2000 dai due blocchi per regolamentare il trasferimento di dati sui due lati dell’Atlantico. E quindi per aiutare le aziende a condurre affari.

La causa muove dalla denuncia di uno studente di legge austriaco Max Schrems per cercare di fermare i trasferimenti di dati verso gli Stati Uniti. Secondo la denuncia di Schrems, alla luce delle rivelazioni di Snowden sullo spionaggio effettuato dall’Nsa, le leggi americane non offrirebbero alcuna reale protezione contro il controllo da parte del Governo Usa.

Annunci

Manager della privacy, verso una norma UNI per la professione

privacy-officerChi sono i manager responsabili della sicurezza e della privacy nelle aziende?

Di fatto, le persone che supervisionano le procedure e verificano i sistemi di gesione dei dati? Una domanda più che lecita fino a ora. Visto che non esiste, almeno in Italia o in Europa, una normativa condivisa e regole comuni che disciplinino queste figure professionali. Ma ancora per poco. Forse.

Sembra, infatti, che finalmente la situazione di stallo si stia sbloccando: sono giunti segnali forti dal Consiglio d’Europa, che ha dato il via libera all’apertura dei negoziati finali per arrivare all’approvazione del nuovo regolamento entro l’anno; inoltre, in ambito di normazione tecnica, è appena partita ufficialmente l’inchiesta pubblica preliminare per arrivare alla pubblicazione di una Norma UNI in grado di definire i profili delle figure professionali che si occupano di privacy.

Negli Stati Uniti e in altre nazioni, il privacy officer è una figura molto ricercata specialmente dalle aziende che si occupano di ecommerce, o il cui core business è incentrato sui dati personali, come quelle dei settori marketing e sanità. L’Europa, invece, attende da Bruxelles l’approvazione di un nuovo regolamento sulla protezione dei dati che introdurrà tale figura nei 28 Stati membri. Intanto diversi Paesi si muovono in ordine sparso: 15 nazioni hanno previsto in varie forme il privacy officer nei loro ordinamenti, altre impongono alle imprese l’obbligo di nominarlo, altre ancora prevedono agevolazioni per chi decide di avvalersene. Tra queste Germania, Francia, Ungheria, Polonia e Slovacchia, ma non l’Italia.

Federprivacy, associazione di categoria professionale, fa notare come le nazioni dove il privacy officer è previsto dagli ordinamenti locali, «siano anche quelle dove il commercio online produce fatturati maggiori, come in Francia e in Germania, dove vale rispettivamente 56,8 e 70 miliardi di euro annui, anche se la regina europea degli acquisti online è il Regno Unito con 122 miliardi».

«In Italia solo il 4% delle imprese vende online prodotti e servizi, per un valore di 13 miliardi di euro annui, mentre i privacy officer sono ancora pochi, circa 1.000 quelli associati a Federprivacy, e poco più di 200 quelli certificati dal TÜV Examination Institute» sottolinea Nicola Bernardi, presidente di Federprivacy.

Tornando all’iter avviato per la definizione di una normativa Uni, grandi imprese e associazioni di categoria potranno inviare fino al prossimo 2 Luglio i loro commenti, in qualità di stakeholders, tramite il sito di UNI con la possibilità di partecipare al tavolo dei lavori (Codice Progetto E14D00036).

La prossima riunione per il progetto di norma relativo alle figure professionali esperte di privacy all’Ente Italiano di Normazione si terrà il 16 luglio.

Il Garante privacy fissa le regole per partiti e movimenti politici

Elezioni-Europee-2014-634x396Partiti e movimenti politici più trasparenti sull’uso dei dati personali di iscritti, simpatizzanti, partecipanti alle “primarie”, semplici cittadini. Cittadini informati e messi in condizione di esercitare agevolmente i loro diritti.

Con un intervento a carattere generale il Garante per la privacy ha fissato un quadro organico di regole per la tutela della riservatezza in un ambito delicato e cruciale come quello dei partiti politici.

Queste, in sintesi, le regole alle quale le formazioni politiche dovranno attenersi nello svolgimento della loro normale attività e non solo in occasione degli appuntamenti elettorali.

 

Uso dei dati di aderenti e cittadini che hanno contatti regolari con i partiti

Partiti, movimenti, comitati per le “primarie” possono utilizzare senza consenso i dati di aderenti o di cittadini con cui intrattengono contatti regolari, purché gli scopi che intendono raggiungere siano individuati nello statuto o nell’atto costitutivo.

Serve invece il consenso scritto per comunicare i dati all’esterno (ad. es., ad altri partiti appartenenti alla stessa coalizione) o per diffonderli. La stessa regola vale per i comitati di promotori o sostenitori che devono avere il consenso degli aderenti per comunicare i dati a terzi.

 

Uso dei dati di simpatizzanti e partecipanti a singole iniziative

I dati personali raccolti in occasione di petizioni, proposte di legge, richieste di referendum possono essere utilizzati ed eventualmente comunicati e diffusi solo con il consenso scritto dei cittadini e a condizione che abbiano ricevuto una informativa dettagliata. Stessa regola vale per la comunicazione a terzi e la diffusione dei dati di coloro che erogano finanziamenti e contributi, salvo i casi previsti dalla legge (ad es. obbligo per i partiti di tramettere alla Presidenza della Camera dei deputati l’elenco dei propri sovventori).

 

Informativa chiara e puntuale: predisposto anche un modello dal Garante

L’informativa deve essere resa al momento dell’adesione al partito o al movimento politico o prima della raccolta dei dati  in occasione  di singole iniziative (petizioni, proposte di legge, referendum). Nell’informativa devono essere indicate le finalità della raccolta dei dati, l’ambito di circolazione all’interno del partito o del movimento e l’eventuale possibilità di comunicazione all’esterno. Per agevolare il compito il Garante ha predisposto e messo a disposizione il seguente modello di informativa agile e di immediata comprensione.

INFORMATIVA

(art. 13 del Codice in materia di protezione dei dati personali)

“I dati da Lei conferiti (per es. all’atto dell’iscrizione al partito, della sottoscrizione di una petizione) saranno utilizzati, anche con strumenti informatici, da (indicare il titolare e l’/gli eventuale/i co-titolare/i del trattamento) a fini di (indicare le specifiche finalità) e non saranno comunicati a terzi o resi a loro conoscibili (in alternativa, indicare sinteticamente i soggetti o le categorie di soggetti destinatari dei dati, nell‘eventuale veste di responsabili o di autonomi titolari), né diffusi (in alternativa, specificare l’ambito della diffusione).

Il conferimento dei Suoi dati è (specificare se obbligatorio o facoltativo) ed un Suo eventuale rifiuto potrebbe (specificare le conseguenze, es. compromettere l’espletamento di determinate attività).

Le ricordiamo che potrà esercitare i diritti di cui all’art. 7 del Codice (es. accedere in ogni momento ai Suoi dati, chiederne l’origine, l’aggiornamento, la rettificazione, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge) rivolgendosi a (indicare le coordinate del titolare o del responsabile, ove designato, per il riscontro all’interessato in caso di esercizio dei diritti di cui all’art. 7).

L’elenco aggiornato dei responsabili del trattamento, è disponibile presso (indicare il sito web o le modalità per prenderne conoscenza)”.

 

Garanzie per i cittadini e misure di sicurezza

L’iscritto, l’aderente, il semplice cittadino, chi sovvenziona il partito o il movimento ha diritto di accedere ai propri dati personali, ad aggiornarli o rettificarli; può conoscere i soggetti cui possono essere comunicati, e opporsi, in ogni momento, alla ricezione di materiale elettorale.

 

Regole per la propaganda elettorale

Confermate in massima parte le regole già stabilite per precedenti consultazioni elettorali:

  • utilizzabili liberamente le liste elettorali;
  • serve il consenso per sms, e-mail, mms, telefonate preregistrate e fax;
  • non possono essere mai utilizzati gli archivi dello stato civile, l’anagrafe dei residenti, le liste elettorali già utilizzate nei seggi o in cui vi siano dati annotati dagli scrutatori.

Nel caso in cui si avvalgano di  società che forniscono liste di nominativi o servizi di propaganda elettorale, i partiti hanno l’obbligo di verificare il corretto trattamento dei dati.

In un’ottica di semplificazione e contemperamento degli interessi, l’Autorità ha esonerato in via definitiva partiti, movimenti, comitati e singoli candidati, che fanno propaganda elettorale utilizzando fonti pubbliche (ad es. le liste elettorali), dall’obbligo di rendere l’informativa dal sessantesimo giorno precedente la data delle consultazioni politiche, amministrative, referendarie o delle “primarie” al sessantesimo giorno successivo. Nel materiale inviato dovrà essere comunque indicato un recapito per l’esercizio dei diritti riconosciuti dal Codice privacy.

 

Call center extra Ue più trasparenti

9779804-dipendenti-che-lavorano-in-un-call-centerIl Garante avvia una ricognizione delle attività di customer care e telemarketing fuori Ue

Cresce il fenomeno dei call center delocalizzati in Paesi al di fuori dell’Unione europea e il Garante privacy interviene a tutela dei cittadini italiani.

Con un provvedimento a carattere generale [doc. web n. 2724806],  adottato al termine di una articolata istruttoria,  il Garante ha ribadito le regole alle quali devono attenersi società e enti pubblici, che si avvalgono per le loro attività di customer care o di telemarketing di call center situati in Paesi dove non sono assicurate le garanzie previste dalla normativa comunitaria.

Il nuovo provvedimento ricorda le regole generali da rispettare per i trasferimenti di dati:

  • autorizzazione del Garante,
  • adozione di regole di condotta infragruppo (le cosiddette “binding corporate rules“, Bcr),
  • sottoscrizione tra le parti delle clausole contrattuali tipo stabilite dalla Commissione europea o quelle già indicate in specifici ambiti di attività (ad.es. per il telemarketing).

Ma soprattutto introduce importanti novità.

  • i titolari del trattamento (società e enti pubblici) che utilizzano tali call center dovranno infatti integrare l’informativa resa al momento del contatto con l’utente specificando anche la nazione dalla quale chiamano o rispondono;
  • per le chiamate in entrata,  in analogia a quanto previsto dalla normativa in vigore, i call center dovranno adottare apposite procedure per dare all’utente la possibilità di scegliere un operatore collocato sul territorio nazionale (ad es. deviando la telefonata o disponendo un successivo contatto da parte di un operatore italiano);
  • d’ora in poi, inoltre, i titolari dal trattamento che intendono trasferire (o affidare) il trattamento di dati personali a un call center situato in Paesi extra Ue dovranno prima darne comunicazione al Garante, utilizzando un modello che sarà messo a disposizione sul sito dell’Autorità (www.garanteprivacy.it). 

I call center che già operano in Pesi extra Ue dovranno invece informare il Garante entro 30 giorni dalla pubblicazione del provvedimento nella Gazzetta ufficiale.

Ciò consentirà di acquisire elementi utili a comprendere l’ampiezza di un fenomeno in continua espansione e permetterà all’Autorità di valutare la portata del trasferimento dei dati personali al di fuori dall’Unione europea per i trattamenti operati dai call center, anche al fine di intervenire con tempestività ed efficacia in caso di violazioni del Codice privacy.

 

Dai Garanti privacy del mondo un piano per l’educazione digitale

app_privacyAttenzione ai rischi di “appificazione” della società: i Garanti del mondo varano un piano per l’educazione digitale.

Si è conclusa ieri, con l’adozione di ben otto Risoluzioni, la 35ma Conferenza internazionale sulla privacy che ha visto riunite a Varsavia le Autorità garanti per la protezione dei dati di tutto il mondo.

Particolare interesse riveste la Risoluzione, sostenuta con forza dal Garante italiano, con la quale la Conferenza ha adottato un programma comune che impegna i governi a promuovere  l’educazione digitale di tutti i cittadini, senza distinzione di età, esperienza o ruolo rivestito.

Principi

Il programma fissa cinque principi:

  1. assicurare una protezione particolare ai minori nel mondo digitale;
  2. garantire una formazione permanente sulla tecnologia digitale;
  3. raggiungere un giusto equilibrio tra opportunità e rischi presenti nella tecnologia digitale;
  4. promuovere il rispetto degli utenti;
  5. diffondere un pensiero critico sull’uso delle nuove tecnologie.

Obiettivi

A sostegno di questi principi i Garanti dei diversi continenti hanno individuato anche quattro obiettivi operativi:

  1. promuovere, nell’ambito dei programmi di alfabetizzazione digitale, una educazione sulla privacy;
  2. giocare un ruolo nella “formazione dei formatori” in materia di protezione dei dati personali;
  3. sviluppare settori particolarmente innovativi, specialmente nel campo della “privacy by design”;
  4. formulare raccomandazioni e buone pratiche sull’uso delle nuove tecnologie a favore di genitori, insegnanti, minori, aziende.

Altre tematiche affrontate

Le altre Risoluzioni hanno riguardato una serie di importanti questioni:

  • la necessità che imprese e governi assicurino la massima trasparenza nel trattamento dei dati dei cittadini;
  • l’esigenza che l’attività di profilazione si basi su una preliminare valutazione di impatto-privacy, garantisca trasparenza agli interessati e ponga particolare attenzione alla tutela dei minori;
  • l’attenzione da porre ai rischi legati più in generale al ricorso crescente al tracciamento della navigazione sul web (web tracking), che deve essere reso più trasparente ed ispirarsi ai principi detti di “privacy by design”;
  • l’obiettivo di pervenire ad un maggiore coordinamento tre le Autorità per aumentare l’efficacia delle attività di enforcement;
  • la necessità di adottare un piano strategico di azione per il biennio 2014-2015 finalizzato innanzitutto alla creazione di una rete globale di regolatori;
  • la necessità di un accordo internazionale vincolante che salvaguardi i diritti umani attraverso un corretto equilibrio tra sicurezza, interessi economici e libertà di espressione.

yellow_button_35_Int_Conf

La Conferenza ha anche adottato una dichiarazione sui rischi e le sfide posti dal crescente uso delle app tanto da permettere di parlare di una vera e propria “appificazione” della società.

 

Wi-fi libero, sanità elettronica, imprenditori: il Garante privacy bacchetta il Governo

++ PRIVACY: SORO, IN ARRIVO NORME SU INTERCETTAZIONI ++Informazioni personali tracciate per chi accede a Internet via wi-fi, troppi dati sanitari a Ministeri e Regioni, perdita di tutele per gli imprenditori: in una segnalazione a Governo e Parlamento i possibili rischi per la privacy dei cittadini

In una segnalazione inviata a Governo e Parlamento, il Garante per la protezione dei dati personali ha richiamato l’attenzione sui rischi per la privacy dei cittadini che potrebbero derivare da alcune norme contenute nel recentissimo “Decreto del Fare” e nel Disegno di legge sulle semplificazioni.

Due gli articoli del primo decreto che hanno suscitano forti perplessità da parte dell’Autorità: quello sul cosiddetto “wi-fi libero” e quello sul Fascicolo sanitario elettronico.

 

free-wi-fiWi-fi libero

L’articolo 10 del decreto legge n.69 del 21 giugno scorso prevede, come già avviene adesso, che quanti offrono accessi a Internet tramite wi-fi (es. bar, ristoranti, alberghi) non debbano più identificare i clienti che utilizzano il terminale.

Ma stabilisce al contempo l’obbligo di tracciare alcune informazioni relative all’accesso alla rete (come il cosiddetto “indirizzo fisico” del terminale, MAC Address) che, a differenza di quanto sostenuto nella norma, sono – ai sensi della Direttiva europea sulla riservatezza e del Codice privacy – dati personali, in quanto molto spesso riconducibili all’utente che si è collegato a Internet.

Peraltro, l’adempimento richiesto, sottolinea il Garante, non solo grava su una platea considerevole di imprese, ma reintroduce obblighi di monitoraggio e registrazione dei dati che, stabiliti a suo tempo dal decreto Pisanu per categorie di gestori diverse da quanti offrono accesso ad Internet con modalità wireless, sono stati successivamente soppressi anche in ragione delle difficoltà e degli oneri legati alla loro applicazione. Il Garante auspica lo stralcio della norma e l’approfondimento di questi aspetti nell’ambito di un provvedimento che non abbia carattere d’urgenza.

 

1342164699Fascicolo sanitario elettronico (Fse)

L’art.17 dello stesso decreto, poi, modificando precedenti disposizioni in materia di Fascicolo sanitario elettronico (Fse), prevede che, a fini di ricerca epidemiologica e di programmazione e controllo della spesa sanitaria, le Regioni e le Province autonome, il Ministero del Lavoro e il Ministero della Salute possano accedere alle informazioni sanitarie presenti nel Fse di tutti gli assistiti, compresi i documenti clinici prima espressamente esclusi. In questo modo tali amministrazioni si troverebbero ad utilizzare una enorme mole di dati sensibili (ricoveri, accessi ambulatoriali, referti, risultati di analisi cliniche, farmaci prescritti) che, per quanto non immediatamente riconducibili agli interessati, non sono indispensabili per il raggiungimento di finalità diverse da quella della cura.

L’Autorità chiede che la norma venga modificata affinché i soggetti pubblici interessati possano accedere alle sole informazioni effettivamente necessarie per lo svolgimento di tali finalità.

 

shutterstock_93304129-830x1024Perdita di tutele per gli imprenditori

Il Garante ha infine espresso la sua contrarietà alla possibile riproposizione di disposizioni che risulterebbero inserite nel disegno di legge sulle semplificazioni di recente approvato dal Consiglio dei ministri, volte ad escludere gli imprenditori dall’applicazione del Codice privacy.

Tali norme privano di fatto le persone fisiche – sia pure quando agiscano nell’esercizio della propria attività imprenditoriale – del diritto alla protezione dei dati, con conseguenze paradossali e non certo semplificatorie.

E anzi perfino pregiudizievoli per la stessa attività d’impresa, stante la difficoltà di distinguere, nella vita concreta, il dato della persona fisica da quello riferito alla sua qualità di imprenditore. In questo modo, gli imprenditori si  troverebbero ad avere meno diritti (ad esempio non potrebbero più rivolgersi al Garante per tutelarsi in caso di informazioni non corrette presenti nelle banche dati), ma gli stessi oneri ai quali erano prima soggetti.

La disposizione, peraltro, ricorda il Garante, si porrebbe in netto contrasto con la Direttiva europea con la conseguenza di costringere l’Autorità a sollevare la questione in sede comunitaria.

 

 

Dear Mr. Page… I Garanti del mondo a Big G: i “Google Glass” rispettino la privacy dei cittadini

pg-46-google-glasses-apLe Autorità di garanzia scrivono a Larry Page:  subito chiarimenti e l’avvio di un confronto.

Quali informazioni raccoglie Google attraverso i “Glass”, i famosi occhiali a realtà aumentata? Con chi le condivide? Come intende utilizzarle? Come viene  garantito il rispetto delle legislazioni sulla privacy? Come pensa Google di risolvere il problematico aspetto della raccolta di informazioni di persone che, a loro insaputa, vengono “riprese” e “registrate” tramite i Glass?

Sono solo alcune delle questioni che le Autorità di protezione dati di diversi continenti riunite nel GPEN (Global Privacy Enforcement Network), hanno messo nero su bianco in una lettera inviata alla multinazionale californiana sullo sviluppo di Google Glass, una tecnologia in via di sperimentazione legata all’elaborazione elettronica dei dati, indossabile sotto forma di occhiali, che comprende una microcamera, un microfono ed un dispositivo Gps con accesso ad Internet.

Le Autorità per la privacy, tra le quali il Garante italiano, hanno espresso preoccupazione riguardo all’impatto privacy che può derivare dall’uso dei Google Glass e forti timori sul possibile futuro uso di sistemi di “riconoscimento facciale”.

Le Autorità hanno quindi chiesto alla società un sollecito riscontro

  • sulle implicazioni privacy legate allo sviluppo di questa nuova tecnologia e
  • sulle misure che intende prendere per garantire il rispetto della vita privata in tutti i Paesi del mondo.

Google è stata invitata ad un confronto, attraverso incontri e dimostrazioni pratiche sull’uso dei “super-occhiali”. Nonostante  l’esigenza più volte affermata che la privacy sia parte integrante della progettazione di ogni prodotto e servizio prima del lancio, nessuna Autorità di protezione dati è stata sentita dalla multinazionale e le uniche informazioni di cui dispongono i Garanti, derivano in gran parte dai media o dalla pubblicizzazione del dispositivo ad opera della stessa Google.

“Le nuove tecnologie sono state sempre connotate dal binomio “opportunità-rischi” – afferma Antonello Soro, Presidente del Garante privacy – ma certo i Google Glass lasciano prevedere grandi pericoli per la vita privata. Chiunque  finisse nel raggio visivo di chi indossa questi occhiali – continua Soro – potrebbe, a quanto è dato sapere, venire fotografato, filmato, riconosciuto e, una volta avuto accesso ai suoi dati sparsi sul web, individuato nei suoi gusti, nelle sue opinioni, nelle sue scelte di vita. La sua vita gli verrebbe in qualche modo sottratta per finire nelle micro memorie degli occhiali o rilanciata in rete. Ci sono già norme che vietano la messa on line di dati personali senza il consenso degli interessati. Ma di fronte a questi strumenti le leggi non bastano: serve un salto di consapevolezza da parte di fornitori di servizi Internet, degli sviluppatori di software e degli utenti. E’ indispensabile ormai riuscire a promuovere a livello globale un uso etico delle nuove tecnologie.