Privacy & Data Protection

Introduzione all’UE Data Act: Rivoluzione nel mercato dei dati non personali

Introduzione all’UE Data Act: Rivoluzione nel mercato dei dati non personali: Innovazione e business nel mercato IoT

Lo scorso 11 gennaio 2024, è entrato in vigore il tanto atteso ed annunciato Regolamento UE, noto come “Data Act” (Regolamento (UE) 2023/2854). La sua applicazione è prevista a partire dal 12 settembre 2025 per la maggior parte delle disposizioni e dal 12 settembre 2026 per le disposizioni specifiche legate alla progettazione di nuovi prodotti connessi e servizi correlati. Questo ampio lasso temporale è volto - come spesso accade per i Regolamenti UE con forti impatti sull’organizzazione aziendale (vd. ad esempio il GDPR) - a permettere alle imprese di adattare le proprie procedure e modelli di business alle novità e agli stringenti requisiti dettati dalla normativa.

Per dare un primo inquadramento generale, segnaliamo che il Data Act:

  • Si inserisce nella "Strategia Europea per i Dati" del 2020, che mira alla creazione di un mercato unico consentirà ai dati di circolare liberamente all'interno dell'UE e in tutti i settori a vantaggio delle imprese, dei ricercatori e delle pubbliche amministrazioni

  • segue la pubblicazione - e successiva efficacia dal settembre 2023 - del “Data Governance Act” che a sua volta mira a stabilire un quadro normativo per l'abilitazione, la condivisione e l'uso dei dati all'interno dell'Unione Europea, promuovendo l'accesso ai dati e il loro riutilizzo, nel rispetto delle regole di protezione dei dati e della privacy;

  • persegue l’obiettivo di rendere possibile, promuovere e regolamentare la condivisione e la commercializzazione dei dati non personali generati da dispositivi Internet of Things (IoT) tra imprese e con enti governativi.

Vista la natura e il contesto in cui si inserisce, il Data Act andrà applicato tenendo in debita considerazione tutte le normative UE alla stessa connesse, in materia di privacy (GDPR), di commercio elettronico e servizi digital (Digital Service e Market Acts) e di Intelligenza Artificiale (AI Act, di prossima pubblicazione).

La portata innovativa della normativa può essere già compresa con la lettura di alcune specifiche previsioni della normativa in esame:

  • Articolo 3: impone che i prodotti IoT siano progettati per garantire agli utenti finali l'accesso ai dati generati in modo semplice, sicuro e gratuito. Le imprese dovranno incorporare nelle loro soluzioni tecniche adeguati meccanismi di accesso ai dati, assicurando che questi siano forniti in formati standardizzati e facilmente utilizzabili. Le imprese devono quindi rivedere il design dei loro prodotti per assicurare conformità ai principi di accessibilità e trasparenza.
  • Articolo 4.3: impone ai fornitori di servizi correlati ai prodotti IoT di informare gli utenti sulla natura dei dati generati e sulle modalità di accesso e condivisione. Si richiede quindi un approccio comunicativo trasparente, dove le imprese dovranno elaborare e condividere documentazione chiara e comprensibile su come gli utenti possono recuperare e utilizzare i loro dati, stimolando così una maggiore fiducia e collaborazione con gli utenti finali.
  • Articolo 8.1: impone ai soggetti che, per contratto o per obbligo normativo, dovranno mettere i dati a disposizione di soggetti terzi, di farlo a condizioni eque, ragionevoli, non discriminatorie e in modo trasparente, promuovendo una competizione leale e prevenendo pratiche monopolistiche o restrittive nel mercato dei dati.
  • Articolo 9.1: precisa che il compenso concordato tra il titolare e il destinatario dei dati per la messa a disposizione dei dati nelle relazioni tra imprese dovrà essere non-discriminatorio e ragionevole e che potrà includere un margine. I soggetti convolti nelle transazioni basate sui dati devono quindi negoziare e stabilire accordi equi che riflettano il valore dei dati condivisi, garantendo una distribuzione equa dei benefici derivanti dalla loro commercializzazione.

Queste previsioni ci fanno comprendere che la normativa non solo stabilisce obblighi ma apre anche nuove vie per la monetizzazione dei dati e l'innovazione. La condivisione dei dati secondo principi di equità e trasparenza promuoverà un ecosistema digitale più collaborativo e competitivo, dove le aziende potranno sviluppare nuovi servizi o migliorare quelli esistenti grazie all'accesso a dati precedentemente inaccessibili. Lo sviluppo del business potrà anche essere incentivato dai c.d. "intermediari dei dati" (figura già prevista dal Data Governance Act) che svolgeranno un’attività economica volta alla creazione di rapporti commerciali basati sulla condivisione dei dati tra utenti e terzi.

In questo ambito, sono già disponibili alcuni studi sull’applicazione operativa del data Act come lo "Study for developing criteria for assessing ‘reasonable compensation’ in the case of statutory data access right" preparato per la Commissione Europea per comprendere meglio i presupposti sulla base dei quali sarà possibile stabilire l’equità del compenso derivante dalla compravendita dei dati. Attraverso l'analisi di casi studio e l'applicazione di modelli economici, propone un approccio per stabilire compensazioni che riflettano il vero valore dei dati condivisi, promuovendo un ambiente di mercato equilibrato che incentivi la collaborazione e l'innovazione.

Ulteriore aspetto da segnalare è che il Data Act stabilisce requisiti minimi per gli accordi tra clienti e fornitori di servizi di elaborazione dati, come i servizi cloud, facilitando il passaggio dei clienti ad altri fornitori e prevedendo l'eliminazione graduale delle tariffe di uscita dei dati e imponendo di adottare misure trasparenti riguardo alla giurisdizione e alle strategie per prevenire accessi governativi non autorizzati ai dati non personali, evitando conflitti con le leggi dell'UE o degli Stati membri.

In conclusione

Il Data Act rappresenta un passo significativo verso la realizzazione della visione europea di un mercato unico digitale aperto, sicuro e competitivo. Facilitando la condivisione e la commercializzazione dei dati non personali, introduce nuove regole del gioco per produttori, consumatori e intermediari dei dati, stimolando innovazione e creando nuove opportunità di business. Le aziende sono chiamate ad adattarsi a questi cambiamenti, preparandosi a navigare in un paesaggio regolatorio evoluto che pone al centro la valorizzazione dei dati in modo etico e sostenibile. Con l'avvicinarsi delle date di applicazione, è fondamentale che tutti gli attori coinvolti si impegnino attivamente per comprenderne le implicazioni e sfruttare appieno le potenzialità offerte dal Data Act.

Per approfondimenti, Avv. David Ottolenghi, Senior Counsel, Clovers

La pandemia, gli hacker e la tutela dell’azienda

Le recenti abitudini di smart working, inaugurate nel 2020 con l’arrivo del COVID, hanno sovvertito i confini informatici delle nostre aziende e quella che un tempo era una LAN aziendale, situata in un’area geografica ben precisa e per questo più facilmente sorvegliabile, ora è invece aperta a tutti coloro, dipendenti e collaboratori, che impiegano dispositivi aziendali sia per collegarsi da remoto alla sede aziendale, sia per un uso personale.

L’aumento delle cyber iterazioni ha quindi creato più punti violabili da hacker esperti che, ad esempio, inviano allegati di posta elettronica dalle sembianze sicure e provenienti da mittenti verificati, ma che invece celano malware, ovvero programmi atti a ledere il sistema operativo ospite, non individuabili nemmeno da antivirus aggiornati.

A conferma di quanto appena detto aggiungiamo alcuni numeri capaci di spiegare meglio di qualunque parola quanto sia in pericolo la nostra incolumità.

Luglio 2021: Il Sole 24ore stima che l’avvento dello smart working abbia portato, da inizio pandemia, a un aumento del numero degli attacchi informatici fino alla percentuale del 238%.

Il rapporto CLUSIT, l’Associazione Italiana per la Sicurezza Informatica, del 2022 riporta che gli attacchi informatici nel mondo siano aumentati del 10%. In tale classifica l’Italia rappresenta il 4° paese maggiormente colpito alle spalle di USA, Germania e Colombia.

Le tre tipologie di attacco maggiormente utilizzate sono le seguenti:

  1. Malware (utilizzo di software malevoli)
  2. Data breach mirati (furto di informazioni riservate con tecniche sconosciute)
  3. Vulnerabilità di sicurezza vero tallone d’Achille sul quale poggiano le prime due forme di attacco.

Nel 2001 l’hacker Kevin Mitnick profetizzava con una frase quello che sarebbe accaduto a distanza di appena venti anni: “Un computer sicuro è un computer spento”.

Noi crediamo che con l’adozione di strumenti appropriati e di specifiche procedure - la formazione delle risorse umane rimane un punto centrale del sistema - sia possibile avere delle misure di sicurezza realmente adeguate.

Oltre alle classiche protezioni hardware e software, sono ora a disposizione delle aziende strumenti di tutela più avanzati ed impiegabili in sinergia:

  • VA - Vulnerability Assessement: monitoraggio continuativo e l’individuazione di tutte le vulnerabilità note sia all’interno del perimetro aziendale, sia nel web, fra cui s’includono anche coloro che per mezzo di dispositivi aziendali si collegano con la sede da remoto. Vulnerabilità che qualora non vengano sanate possono essere facilmente sfruttabili dai criminal hacker (azione di tipo preventivo).
  • SOC - Security Operation Center: monitoraggio continuativo, l’individuazione, l’analisi e la gestione, con il relativo blocco, di tutte le minacce esterne e interne all’azienda e delle intrusioni non autorizzate (azione di tipo proattivo)

Siamo a disposizione per affiancare le aziende ed i professionisti nella scelta di soluzioni software avanzate e nella predisposizione di procedure semplici ed efficaci per la tutela dell’operatività aziendale e dei dati, conformi al GDPR.

Per informazioni: info@clovers.law

Il Garante Privacy considera la pubblicità “personalizzata” basata sul legittimo interesse illecita e TikTok si adegua

Lo scorso giugno TikTok ha annunciato pubblicamente che a breve avrebbe iniziato ad inviare, ai suoi utenti maggiorenni, pubblicità basata sulla profilazione dei comportamenti durante la navigazione sulla piattaforma, senza richiedere il consenso agli interessati, utilizzando la base giuridica del legittimo interesse del titolare (cioè della stessa TikTok Technology Limited con sede a Dublino).

Nel provvedimento adottato in via d'urgenza il 7 luglio, il Garante Privacy aveva avvertito TikTok che tale attività di trattamento sarebbe stata illecita, non in base al GDPR (regolamento privacy europeo), ma in contrasto con l’art. 5, par. 3 della Direttiva e-privacy (Direttiva relativa alla vita privata e alle comunicazioni elettroniche) e con l’art. 122 del Codice Privacy (italiano).

Infatti, secondo il Garante, la memorizzazione di informazioni, o l'accesso a informazioni già memorizzate, nell'apparecchiatura terminale di un abbonato o di un utente richiede espressamente come base giuridica il consenso esclusivo degli stessi.

Nella diffida il Garante della privacy, alla luce dell'incapacità di TikTok (e di altri social network) di identificare i maggiorenni, aveva evidenziato il rischio che la pubblicità potesse raggiungere anche i minori.

La violazione della Direttiva ePrivacy ha permesso al Garante di intervenire direttamente e con urgenza nei confronti di TikTok, al di fuori della procedura di cooperazione internazionale prevista dal GDPR. Allo stesso tempo, però, l’Autorità aveva informato la Data Protection Commission dell’Irlanda (il Garante Privacy irlandese), paese in cui TikTok ha il suo stabilimento principale, e l'European Data Protection Board.

Attualmente TikTok indica nella sua informativa privacy (visionata in data 13 settembre) che saranno mostrati annunci pubblicitari personalizzati basati sulla attività dell’utente sulla piattaforma e al di fuori della stessa, con il suo consenso (https://bit.ly/3xkqC5e).

TikTok, responsabilmente, ha quindi rinviato la pubblicità personalizzata basata sul legittimo interesse.

Stop all’uso degli Analytics anche da parte del Garante italiano: alcune soluzioni alternative

La gestione di un sito web o di un'applicazione mobile richiede l'utilizzo di statistiche sul traffico e/o sulle prestazioni, che sono spesso essenziali per la fornitura del servizio. Lo standard di mercato, in questo settore, è Google Analytics (GA), che dovrà presto cambiare perché è stato dichiarato illecito.

Il Garante Privacy italiano ha di recente sanzionato il gestore di un sito web, con un provvedimento del 9 giugno 2022. Il suo sito utilizzava il servizio GA che trasferisce i dati degli utenti europei negli Stati Uniti, paese privo di un adeguato livello di protezione. Un autorevole membro del collegio del Garante ha inoltre confermato che sono partiti una serie di controlli a tappeto su questa tematica (come da programmazione del Garante).

Dall’istruttoria del Garante privacy italiano è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni (che sono dati personali) sono risultate oggetto di trasferimento verso gli Stati Uniti. Pertanto, il trattamento è stato dichiarato illecito.

Ciò è potuto avvenire perché la Corte di giustizia dell'Unione europea, con sentenza del luglio 2020, ha dichiarato nullo il Privacy Shield, un trattato internazionale che regolava i trasferimenti di dati tra l'Unione europea e gli Stati Uniti. Tale trattato non offriva garanzie adeguate contro il rischio di accesso illecito ai dati personali dei residenti europei da parte delle autorità americane.

Nel marzo 2022 la Commissione europea e gli Stati Uniti hanno adottato una dichiarazione congiunta su una futura decisione di regolamentare adeguatamente i flussi di dati verso gli Stati Uniti. Si tratta solo un annuncio politico, senza alcun valore giuridico. Infatti, il 6 aprile 2022 il l’European Data Protection Board (l’EDPB ovvero il comitato che riunisce le autorità privacy europee) ha rilasciato una dichiarazione in cui ha chiarito che tale dichiarazione non costituisce un quadro giuridico su cui le organizzazioni possono fare affidamento per trasferire i dati negli Stati Uniti.

Il contributo della CNIL

L’autorità privacy che, ad oggi, ha analizzato questi aspetti in maniera più “pratica” è quella francese.

L’autorità privacy francese (CNIL) ha precisato che l’utilizzo di GA è considerato illecito ai sensi del GDPR e rimane tale anche ricorrendo a pratiche di preventiva pseudonimizzazione o crittografia dei dati oggetto di trasferimento.

Sorge allora spontanea una domanda. È possibile continuare a trasferire i dati fuori UE utilizzando la base giuridica del consenso degli interessati?

Il consenso esplicito degli interessati è una delle possibili deroghe previste per alcuni casi specifici dall'articolo 49 del GDPR. Tuttavia, come indicato nelle linee guida del EDPB queste deroghe possono essere utilizzate solo per trasferimenti non sistematici e, in ogni caso, non possono costituire una soluzione permanente di lungo termine, in quanto il ricorso a una deroga non può diventare la regola generale.

Non potendo validamente utilizzare il consenso esplicito (e neppure GA), esistono degli strumenti alternativi che siano legittimi?

La CNIL ha pubblicato un elenco di software che possono essere esentati dal consenso se opportunamente configurati.

Questo elenco comprende strumenti che hanno già dimostrato alla CNIL di poter essere configurati in modo da limitarsi a quanto strettamente necessario per la fornitura del servizio, senza quindi richiedere il consenso dell'utente.

Qualsiasi sia il software utilizzato, è sempre necessario verificare, per quanto possibile, che la società che lo produce non abbia legami patrimoniali o organizzativi con una società madre situata in un paese che consente ai servizi di intelligence di richiedere l'accesso a dati personali situati in un altro territorio (ad esempio: Stati Uniti ma anche Cina) ed è necessario valutare il quadro giuridico del paese di esportazione dei dati.

L’elenco dei software suggeriti dalla CNIL

Senza scendere nel dettaglio della configurazione richiesta per utilizzare legittimamente questi software (che dipende da parecchie variabili) indichiamo di seguito l’elenco indicato dalla CNIL:

  • Analytics Suite Delta di AT;
  • SmartProfile di Net Solution Partner;
  • Wysistat Business di Wysistat;
  • Piwik PRO Analytics Suite;
  • Abla Analytics di Astra Porta;
  • BEYABLE Analytics di BEYABLE;
  • etracker Analytics (Basic, Pro, Enterprise) di etracker;
  • Web Audience di Retency;
  • Nonli;
  • CS Digital di Contentsquare;
  • Matomo Analytics di Matomo;
  • Wizaly di Wizaly SAS;
  • Compass di Marfeel Solutions;
  • Statshop di Web2Roi;
  • Eulerian di Eulerian Technologies;
  • Thank-You Marketing Analytics di Thank-You;
  • eStat Streaming di Médiamétrie;
  • TrustCommander di Commanders Act.

Per la redazione del presente articolo sono state utilizzate le seguenti fonti, a cui si rinvia per ogni approfondimento.

  • Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie
  • The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield (PDF, 322 ko) – CJEU
  • Alternatives to third-party cookies: what consequences regarding consent?
  • [FR] Utilisation de Google Analytics et transferts de données vers les États-Unis : la CNIL met en demeure un gestionnaire de site web

Cookies: il Garante Privacy Francese (la “CNIL”) sanziona GOOGLE per un totale di 150 milioni di euro e FACEBOOK per 60 milioni di euro per non aver rispettato la legislazione privacy francese.

Il 6 gennaio scorso, a seguito di indagini, la CNIL ha constatato che i siti facebook.com, google.fr e youtube.com non consentono agli utenti di rifiutare i cookies con la stessa semplicità con cui vengono accettati. La CNIL ha così multato FACEBOOK per 60 milioni di euro e GOOGLE per 150 milioni di euro e ha ordinato loro di conformarsi entro tre mesi. L’autorità francese ha notato, in particolare, che i siti facebook.com, google.fr e youtube.com offrono un pulsante che permette all'utente di accettare immediatamente i cookies, mentre non forniscono una soluzione equivalente (pulsante o altro) che permetta all'utente di rifiutare, in modo altrettanto semplice l’utilizzo dei medesimi cookies. I siti web al vaglio della CNIL prevedevano infatti l’esecuzione di diversi click per rifiutare tutti i cookies e un solo click per accettarli, andando così a limitare la libertà del consenso, prevista come elemento fondamentale dall’Art. 82 della legge francese sulla privacy, oltre che dal GDPR. Oltre al pagamento delle suddette sanzioni, Google e Facebook dovranno adeguarsi alle prescrizioni della CNIL entro 3 mesi, fornendo agli utenti una modalità di rifiuto dei cookies che sia altrettanto semplice rispetto a quella prevista per accettarli. In mancanza, le imprese dovranno pagare una sanzione di 100.000 euro per ogni giorno di ritardo. Queste due decisioni rientrano nell’ambito della strategia di conformità globale avviata dalla CNIL negli ultimi due anni nei confronti di operatori francesi e stranieri, che pubblicano siti web con molte visite e che pongono in essere pratiche contrarie alla normativa in materia di cookies. Dal 31 marzo 2021, quando è scaduto il termine fissato per i siti web e le applicazioni mobili per conformarsi alle nuove regole sui cookie, la CNIL ha adottato quasi 100 misure correttive (ordini e sanzioni) relative al mancato rispetto della legislazione sui cookie. Sul panorama italiano in materia di cookies, si segnalano le Linee Guida Cookies pubblicate dal Garante Privacy ed entrate in vigore lo scorso 10 gennaio 2022, i cui dettagli sono forniti, sul nostro Blog.

Clovers Alert! Il tuo sito web è conforme alle novità normative che entreranno in vigore dal 10 gennaio 2022?

Di seguito analizziamo le nuove linee guida sui cookies del Garante Privacy

  1. Le Linee Guida Cookies e altri strumenti di tracciamento

Con Provvedimento n. 231 del 10 giugno 2021, pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021 il Garante privacy ha fornito le proprie linee guida per a) indicare ai gestori di siti web le regole da applicare per l’utilizzo dei cookies e degli altri strumenti di tracciamento e b) per specificare le corrette modalità di fornitura dell’informativa e per l’acquisizione del consenso online degli interessati (le “Linee guida”). Le Linee guida si propongono quindi di integrare le precedenti indicazioni del Garante Privacy (Provvedimento n. 229 del 2014) precisando che la manifestazione di volontà dell’interessato sia “inequivocabile” oltre che libera e informata e richiedendo che la protezione dei dati sia assicurata sin dalla progettazione e attraverso impostazioni predefinite (privacy by default e by design).

  1. Cosa bisogna fare dal 10 gennaio?

Sintetizziamo qui di seguito gli obblighi stabiliti dalle Linee guida, riferiti in modo particolare alle modalità di acquisizione del consenso e alle caratteristiche dell’informativa Cookies

a) L’acquisizione del consenso

In primo luogo, il Garante ribadisce che non sono ammesse, come forme di acquisizione del consenso, le pratiche:

  • del c.d. “scrolling” (ossia, lo spostamento in basso del cursore), che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento, salvo eccezioni da vedere caso per caso;
  • del c.d. “cookie wall”, ossia un meccanismo vincolante (c.d. take it or leave it) in cui l’utente sia obbligato, per accedere al sito, ad esprimere il proprio consenso alla ricezione di cookies o di altri strumenti di tracciamento, salvo eccezioni da valutare caso per caso.

Da un punto di vista operativo, il Garante richiede le seguenti caratteristiche per acquisire validamente il consenso del navigatore:

  • al momento del primo accesso di un utente al sito web, nessun cookie o altro strumento diverso da quelli tecnici sarà posizionato all’interno del dispositivo e non sarà utilizzata alcuna tecnica attiva o passiva di tracciamento;
  • al primo accesso alla pagina web, apparirà un’area o un banner di dimensioni adeguate e tali da non indurre l’utente ad effettuare scelte indesiderate;
  • tale banner dovrà consentire all’utente di esprimere il proprio consenso, attraverso un’azione positiva;
  • occorre quindi consentire all’utente di mantenere le impostazioni di default e di proseguire la navigazione senza prestare alcun consenso, cliccando sul comando di chiusura del banner contraddistinto da una “X” posizionata in alto e a destra all’interno del banner;
  • occorre inserire (oltre al link all’informativa completa) una informativa minima relativa all’utilizzo dei cookies tecnici e - previo consenso, al fine di inviare messaggi pubblicitari ovvero di fornire il servizio in modo personalizzato - di cookies di profilazione o di altri strumenti di tracciamento;
  • sarà inoltre presente un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento e il link ad una ulteriore area dedicata nella quale sia possibile selezionare le funzionalità, i soggetti cd. terze parti ed i cookie al cui utilizzo l’utente scelga di acconsentire

Il Garante precisa inoltre che il banner non dovrà essere ripresentato ad ogni nuovo accesso e che la scelta dell’utente dovrà essere debitamente registrata e non più sollecitata per almeno 6 mesi, salvo modifiche rilevanti nelle condizioni di trattamento.

b) L’informativa

L’informativa Cookies dovrà indicare i soggetti destinatari dei dati personali raccolti e i tempi di conservazione delle informazioni e potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali). Se si utilizzano solo cookies tecnici, l’informativa Cookies potrà essere inclusa nell’informativa generale. Il Garante raccomanda poi che i cookie analytics, usati per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.


Quello sopra riportato è il quadro generale delle Linee guida del Garante privacy che – con adeguato supporto legale – dovrà essere implementato su ogni sito web.

La privacy by default in pratica secondo il Garante spagnolo.

Andrea Antognini - Of Counsel

markus-spiske-iar-afB0QQw-unsplash.jpg

Il GDPR è un testo, salvo eccezioni, identico in tutta Europa ed il Garante spagnolo ha detto la sua sul principio generale di protezione dei dati by default, un concetto in astratto chiaro ma difficile da declinare in concreto:

il titolare del trattamento (l’azienda) deve trattare, per impostazione predefinita, solo i dati necessari per ogni specifica finalità di trattamento. Esattamente l’opposto di quando, nel form online, vedete che la casella per la ricezione della newsletter è “preflaggata”.

La guida del Garante spagnolo [https://www.aepd.es/sites/default/files/2020-10/guia-proteccion-datos-por-defecto.pdf] offre una visione pratica per aiutare ad applicare questo principio al trattamento dei dati in conformità con le disposizioni del GDPR e le linee guida adottate dal Comitato europeo per la protezione dei dati.

I destinatari del presente documento sono i titolari del trattamento dei dati, i DPO ma anche gli sviluppatori o i fornitori, nella misura in cui forniscono prodotti e servizi ai titolari del trattamento e cercano di garantire che questi siano conformi ai requisiti del GDPR.

Il concetto di privacy per default impone la necessità di segmentare l'utilizzo dell'insieme dei dati tra le diverse operazioni di trattamento e tra le diverse fasi del trattamento, in modo tale che non tutte le operazioni effettuate nell'ambito di un'operazione di trattamento siano effettuate su tutti i dati, ma solo su quelli necessari e nei momenti in cui è strettamente necessario.

Il trattamento dovrà essere minimamente intrusivo (quantità minima di dati personali, estensione minima del trattamento, periodo minimo di conservazione e accessibilità minima ai dati personali) e senza necessità di intervento del soggetto i cui dati sono trattati.

L'esecuzione di queste misure si concentra su strategie di ottimizzazione, configurabilità e limitazione.

L'obiettivo dell'ottimizzazione è quello di analizzare il trattamento dal punto di vista della protezione dei dati, il che significa applicare misure in relazione alla quantità di dati raccolti, all'estensione del trattamento, alla loro conservazione e alla loro accessibilità.

La seconda strategia è la configurazione di servizi, sistemi o applicazioni, che devono permettere di stabilire parametri o opzioni che determinano il modo in cui l'elaborazione deve essere effettuata, e che sono suscettibili di essere modificati dall’azienda e anche dall'utente.

Infine, la limitazione garantisce che, per default, il trattamento sia il più possibile rispettoso della privacy, in modo che le opzioni di configurazione siano adeguate, a quei parametri che limitano la quantità di dati raccolti, l'estensione del trattamento, la sua conservazione e la sua accessibilità.

Nella guida si trova anche un documento operativo e modificabile con le misure da adottare per l'attuazione delle strategie di protezione dei dati di default in lingua spagnola e comprende anche un capitolo sulla documentazione e la revisione contabile, necessarie per dimostrare la conformità alla norma.

Il principio di privacy by default non deriva dal risultato di un'analisi dei rischi per i diritti e le libertà, ma si tratta di misure e garanzie che devono essere stabilite ogni volta che vi sia un trattamento di dati personali.

Smart Contract e Blockchain: cosa sono, come funzionano e la loro conformità al GDPR.

Secondo la definizione dell’art. 1321 del codice civile un contratto è “l’accordo tra due o più parti per costituire, modificare o estinguere un rapporto giuridico patrimoniale”. Uno smart contract è invece un “pezzo di codice” – un software - che esegue un accordo tra le sue parti se determinate condizioni sono soddisfatte.

Sulla base di queste semplici definizioni è facile rilevare che mentre i contratti intesi nel senso giuridico del termine richiedono alle parti un ruolo attivo – cioè il compimento di azioni specifiche per l’adempimento delle obbligazioni - i contratti smart sono “self- executing” poiché, una volta che le condizioni sono soddisfatte, l'esito della transazione desiderata è automaticamente ottenuta sulla base dei termini incorporati nel codice. E’ possibile pertanto constatare che in uno smart contract – a differenza di quanto potrebbe accadere in un contratto legale - un ritardo o un mancato adempimento delle obbligazioni è tecnicamente impossibile.

Sulla base di tali considerazioni si può sostenere che in uno smart contract non è necessario che sussista una pregressa fiducia tra le parti e che vi sia un soggetto terzo a cui venga affidato il potere di imporre coercitivamente l'adempimento in caso di violazione. Tutto questo è possibile perché alla componente fiduciaria – al centro del contratto legale - è sostituita la trasparenza implicita dell’infrastruttura Blockchain sulla quale sono posti e operano gli smart contract.

Blockchain: trasparenza e mancanza di autorità

La Blockchain può essere definita come un insieme di blocchi collegati tra loro in modo immutabile e che registrano informazioni utilizzando un sistema crittografico. Tale infrastruttura consente a soggetti tra cui non sussistono pregressi rapporti contrattuali (e quindi di fiducia) di effettuare transazioni in modo sicuro e senza la supervisione o il controllo di un'autorità centralizzata.

Lo sviluppo della tecnologia blockchain ha contribuito alla diffusione degli smart contract esaltandone alcune loro fondamentali caratteristiche.

Essendo memorizzate nel sistema pubblico e distribuito, le transazioni che avvengono in Blockchain possono essere verificate e convalidate da tutti i partecipanti al network. Da ciò consegue che la sicurezza del sistema è notevolmente aumentata, poiché qualsiasi modifica, alterazione, cancellazione di una transazione dovrebbe essere replicata in ogni registro distribuito. Pertanto, gli smart contact implementati sulla Blockchain sono praticamente immutabili e non sono soggetti ad alcuna interferenza esterna.

Questi meccanismi consentono anche a soggetti sconosciuti di effettuare transazioni senza la necessità di un terzo fidato su cui i partecipanti alla rete dovrebbero altrimenti fare affidamento per eseguire e far rispettare gli obblighi reciproci. La mancanza di una terza parte centralizzata comporta anche una riduzione dei costi di transazione, in quanto non vengono trattenute commissioni da nessun intermediario (si pensi ad esempio agli istituti finanziari).

Ricorrere a smart contract implementati su blockchain è ormai una realtà in molti settori, tra cui i mercati finanziari e assicurativi, il settore immobiliare, gli accordi commerciali e la gestione dei diritti d'autore.

Anche contratti di locazione potrebbero beneficiare della tecnologia blockchain: il locatore potrebbe fornire al locatario una chiave digitale da consegnare in cambio di un pagamento elettronico. L’operazione sarebbe da considerarsi estramamente sicura poiché solo nel caso in cui sia la chiave elettronica che il pagamento vengano effettivamente resi disponibili (come verificato da centinaia di partecipanti al sistema blockchain) la transazione sarà effettuata.

Oracle: ponte tra virtuale e reale

Nella maggior parte dei casi, l'esecuzione degli smart contract viene attivata attraverso la ricezione di informazioni raccolte da fonti istituzionali collocate nel mondo reale e che vengono immesse nel sistema Blockchain attraverso un “ponte” – chiamato oracle.

L’oracle è una struttura che collega ciò che è nella catena di blocchi da ciò che invece è fuori da essa, fungendo da ponte tra eventi off-chain e on-chain. I dati esterni utilizzati da un oracle possono derivare sia da eventi nel mondo "reale” (ad esempio, il tracciamento di una spedizione) che dall'ambiente digitale (dati di borsa e altri indici pubblici).

Per comprendere il funzionamento degli “oracle” è interessante analizzare l’impiego che viene fatto degli smart contract nel mercato assicurativo. Una polizza volta a garantire la copertura delle perdite derivanti da terremoti potrebbe beneficiare di una componente di contratto smart. In questa situazione l’oracle avrebbe la funzione di reperire le informazioni rilevanti nel mondo reale - ad esempio il valore relativo alla magnitudo sismica direttamente fonti governative ufficiali - e le farebbe confluire in Blockchain. In questo modo, l'importo dell'indennità da pagare all’assicurato potrebbe essere determinato automaticamente senza la necessità che alcuna documentazione venisse prodotta dal soggetto assicurato. Tale meccanismo è idoneo ad essere riprodotto anche in altri contesti come quello dell'assicurazione per i voli ritardati o cancellati.

Blockchain, Smart Contract e GDPR

Tutti i dati immessi in Blockchain sono pseudonimizzati (idonei a rivelare l'identità degli utenti attraverso un processo di reidentificazione) e pertanto rientrano nell'ambito di applicazione del considerando 26 del GDPR, che impone l'applicazione del regolamento europeo a tutte le informazioni relative a persone identificabili.

Nonostante le previsioni della normativa è facilmente rilevabile che l'effettiva applicazione delle disposizioni GDPR all’infrastruttura Blockhchain solleva una serie di problematiche.

Uno degli aspetti principali della Blockchain è la mancanza di un'autorità centralizzata: ogni partecipante infatti ha la possibilità di creare, verificare e avere accesso al registro pubblico delle transazioni e a tutti i dati pertinenti. In un contesto decentralizzato come quello della Blockchain è pertanto impossibile definire i ruoli di titolare e responsabile del trattamento (figure cardine della normativa europea).

Inoltre è da rilevare che i dati immessi in Blockchain sono per natura immutabili, mentre il GDPR presuppone che ogni dato possa essere modificato o cancellato su istanza dell’interessato, quando voglia esercitare il diritto alla rettifica delle informazioni o il diritto all'oblio, ai sensi degli articoli 16 e 17.

Neanche il principio della minimizzazione dei dati può essere facilmente applicato al sistema blockchain: i registri infatti includono i dati relativi a tutte le transazioni precedenti che sono in continua espansione e che sono memorizzate nei device di tutti partecipanti al network. Ciò è in aperto contrasto con le disposizioni del GDPR che prevedono che i dati personali siano trattati solo quando necessari per scopi specifici preventivamente individuati.

Il progetto Pepp-pt e il ruolo di Google ed Apple nel contact tracing.


Con l’apertura della Fase 2 si avvia un periodo di transizione verso una nuova normalità che prevede l’allentamento di alcune misure restrittive imposte dal Governo. Tutti i paesi membri dell’Unione Europea hanno avviato studi per lo sviluppo di soluzioni tecnologiche che possano coadiuvare i governi nazionali a monitorare la curva di contagio e permettere il tempestivo isolamento dei soggetti a rischio.

Ai vari progetti nazionali si è aggiunta una proposta pan-europea. Tale iniziativa definisce le linee guida che i singoli governi nazionali devono seguire e fornisce uno strumento condiviso per velocizzare lo sviluppo di applicazioni per il monitoraggio e il contenimento del contagio, nel rispetto dei principi fondamentali dell’Unione Europea.

Il progetto Pan-europeo

Il progetto Pepp-pt (Pan European Privacy- Preserving Proximity Tracing) è stato elaborato da un gruppo internazionale di ricercatori coinvolgendo oltre 130 realtà (aziende ed organizzazioni) di 8 nazioni (per ora: Italia, Francia, Germania, Spagna, Austria, Belgio, Danimarca e Svizzera) e si pone come obiettivo lo sviluppo di un software che potrà essere implementato nelle applicazioni rilasciate dai singoli governi nazionali.

La tecnologia prescelta dai ricercatori del Pepp-pt per il concact tracing è quella Bluetooth, che permette di trasmettere e rilevare il codice identificativo anonimo dell’applicazione scaricata ed associata ad ogni smartphone.

Ciò renderà possibile ricostruire la rete dei soggetti con cui un individuo è venuto a contatto e tentare di interrompere la catena dei possibili contagi.

Il gruppo di ricercatori ha anche rivolto un appello direttamente alle tech giant della Silicon Valley, incluse Google ed Apple, affinché queste contribuissero con il loro know-how a individuare strategie volte a rendere più efficaci gli strumenti di contact tracing sviluppati nei diversi paesi.

Google Maps: uno strumento per le autorità

Google aveva già manifestato la volontà di dare il proprio contributo nella gestione dell’emergenza Covid, mettendo a disposizione delle autorità le mappe di 131 paesi che riportano i trend degli spostamenti degli individui sul territorio, così da segnalare i luoghi che necessitano di maggiore presidio da parte delle forze dell’ordine.

Le statistiche elaborate da Google Maps permettono di suddividere i luoghi per categorie (supermercati, farmacie, stazioni, mezzi pubblici) e vengono aggiornate ogni 48-72 ore.

I dati messi a disposizione delle autorità sono in forma aggregata e anonimizzata, rendendo pertanto impossibile risalire all’identità dei singoli soggetti. Tali informazioni, quindi, non ricadono nell’ambito di applicazione del regolamento europeo in materia di data protection.

Apple e Google insieme contro il Covid 19

Google ed Apple hanno annunciato una storica collaborazione per lavorare ad un piano condiviso di monitoraggio del contagio attraverso i rispettivi sistemi operativi, Android e iOS. Le due piattaforme vengono utilizzate da quasi il 99% degli utenti mobile e possono potenzialmente tracciare gli spostamenti di circa 3 miliardi di persone in tutto il mondo (obiettivo che sarebbe impossibile da raggiungere con la cooperazione di tutti i governi delle nazioni colpite dalla pandemia).

Ad oggi, l’ambizioso progetto di Google ed Apple sembra che si articolerà in due fasi:

  • Condivisione di API: a maggio Google ed Apple metteranno a disposizione delle application programming interface (API) che consentiranno l’interoperabilità tra i dispositivi Android e iOS delle applicazioni sviluppate in ciascun paese, permettendo così alle autorità competenti di elaborare con maggiore facilità tutti i dati raccolti, indipendentemente dal tipo di device utilizzato dai cittadini;

  • Implementazione della tecnologia Bluetooth: successivamente, è prevista l’implementazione di una più ampia piattaforma di contact tracing basata sulla tecnologia Bluetooth, che dovrebbe permettere ai sistemi operativi iOS e Android di interagire direttamente con le app sviluppate dai governi dei diversi paesi, con il potenziale coinvolgimento anche dell’Organizzazione Mondiale della Sanità.

  • Preoccupazioni in materia di data protection

Le modalità di tracciamento del sistema Pepp-pt, così come quelle di Google ed Apple, appaiono (ad oggi ed in linea teorica) conformi alle direttive emanate dal comitato delle autorità privacy europee. Le autorità garanti hanno definito le 3 principali linee guida che devono essere seguite per assicurare ai cittadini europei che il monitoraggio avvenga nel rispetto dei principi della normativa europea in materia di data protection:

  • volontarietà: l’utilizzo di qualsiasi applicazione non può essere coercitivo ma potrà avvenire unicamente su base volontaria;

  • uso di dati anonimi: i dati raccolti ed elaborati dalle autorità potranno essere unicamente dati anonimizzati, cioè dati che non consentiranno in alcun modo di risalire all’identità dei singoli utenti.

  • decentralizzazione: i dati raccolti saranno conservati unicamente sul dispositivo del singolo utente che potrà, qualora fosse incorso nel rischio di contagio, dare il proprio consenso affinché le autorità accedano ed elaborino i dati salvati sul suo dispositivo.

Nello scenario così delineato, tutela della privacy e trasparenza sul trattamento delle informazioni devono essere le colonne portanti di qualsiasi progetto di contact tracing.

In proposito, perplessità permangono circa la reale possibilità di “anonimizzare” i dati, in maniera da garantire una completa de-identificazione dell’utente che impedisca di risalire all’individuazione di soggetti specifici.

Analogamente, dovrà essere verificata l’eventuale esistenza di server centralizzati, anche solo per il backup delle informazioni archiviate nei singoli dispositivi.

Una particolare attenzione dovrà poi essere dedicata, da parte delle autorità garanti, a sorvegliare il rispetto dei principi in materia di data protection da parte dei giganti del tech che mettano a disposizione la propria tecnologia per l’attività di contact tracing, ottenendo in questo modo un’ulteriore significativa estensione del volume e della tipologia di dati trattati.    

“Immuni”: funzioni e criticità dell’ app di contact tracing prescelta dalle autorità.

Andrea Antognini - Of Counsel

image-asset.jpeg

A seguito dell’invito che il Ministero dell’Innovazione Tecnologica ha rivolto a tutte le aziende operanti nel settore digitale italiano, sono stati più di 300 i progetti presentati per monitorare la diffusione del Covid-19 durante la fase di allentamento del lockdown.

L’applicazione di contact tracing prescelta dal Ministero e dalla task force guidata da Vittorio Colao si chiama “Immuni” ed è il risultato della partnership tra la società Bending Spoons, il Centro Medico Santagostino e la società di e-marketing Jakala.

Come funziona “Immuni”

Immuni, app con codice open source che sarà scaricabile sulle principali piattaforme Android e Apple, presenta due principali funzionalità: il diario clinico e il sistema di contact tracing.

Diario clinico

Ogni utente potrà compilare quotidianamente un questionario in cui inserire tutti i dati rilevanti circa il proprio stato di salute (età, malattie pregresse, assunzione di farmaci) e segnalare l’insorgenza dei sintomi correlati all’infezione da Covid-19.

Questa funzionalità consentirà agli esperti di lavorare sui dati aggregati di un campione significativo della popolazione italiana, così da poter individuare e gestire con tempestività eventuali nuovi focolai epidemici.

Contact Tracing

Il sistema di contact tracing di “Immuni” si basa sull’utilizzo della tecnologia Bluetooth, che consente di rilevare la vicinanza tra due smartphone (sui i quali sia stata installata l’app) e di identificare tutte le persone con cui un soggetto positivo al Covid-19 sia venuto a contatto nei precedenti 14 giorni.

Una volta scaricata, l’applicazione genera automaticamente un codice identificativo che può essere rilevato da altri device situati entro la distanza di un metro. I codici identificativi di tutti i dispositivi con cui un soggetto è entrato in contatto vengono memorizzati sullo smartphone di ogni utente.

Nel caso in cui un soggetto risultasse positivo al virus - e solo, sembrerebbe, previo suo consenso - si potrà procedere al trattamento dei dati conservati nel suo cellulare, in modo da individuare coloro che sono potenzialmente incorsi nel rischio di contagio nei giorni precedenti.

A differenza delle app di tracciamento rilasciate in Cina, Singapore e Corea del Sud, “Immuni” non traccerà quindi gli spostamenti dei suoi utenti con l’utilizzo del sistema di localizzazione GPS, ma utilizzerà unicamente la tecnologia Bluetooth, che consente il rispetto del principio di minimizzazione dei dati trattati (raccogliendo solo le informazioni strettamente necessarie a tracciare i potenziali contatti tra soggetti e non tutti i loro spostamenti) e che risulta essere più efficace nell’individuazione delle catene di contagio.

Salute vs Privacy: le linee guida

Nelle scorse settimane si sono accesi numerosi dibattiti sulla necessità di trovare un equilibrio tra l’irrinunciabile diritto alla salute e il diritto alla privacy individuale.

A questo proposito, sia il Garante Privacy italiano che l’European Data Protection Board (il comitato formato dalle autorità privacy europee) sono intervenuti per fornire delle linee guida al fine di conciliare questi diritti particolarmente meritevoli di tutela nel contesto dell’emergenza sanitaria globale.

Secondo quanto affermato dalle autorità, qualsiasi applicazione per il monitoraggio e il contenimento della pandemia dovrebbe (i) basarsi sul consenso del singolo utilizzatore, (ii) trattare unicamente dati anonimizzati e (iii) prevedere che tali dati siano conservati sul dispositivo e non su server centralizzati.

Volontarietà, anonimizzazione e conservazione dei dati

Nel caso di “Immuni”, ogni cittadino sarà libero di scegliere se scaricare e attivare l’applicazione, il cui utilizzo avverrà quindi solo su base volontaria.

Tuttavia, sulla base delle poche informazioni ad oggi disponibili, non vi è altrettanta certezza circa la sussistenza degli altri due requisiti, in particolare circa l’effettiva e irreversibile anonimizzazione dei dati.

Il codice ID generato ogni volta che un utente scarica l’applicazione non può essere infatti considerato come “dato anonimo” nel senso giuridico del termine, ma è piuttosto un dato “pseudonimizzato”, cioè un dato che può essere aggregato ad altri per risalire all’identità di una persona specifica.

D’altra parte, l’applicazione non potrebbe ricostruire la rete di contagi qualora dovesse utilizzare dati effettivamente anonimizzati, che non consentirebbero quindi di risalire in alcun modo all’identità dei singoli soggetti.

La distinzione assume rilevanza dal punto di vista giuridico perché i dati trattati nella lotta alla pandemia e (irreversibilmente) anonimi non sarebbero più dati personali e, quindi, non oggetto di tutela ai sensi del GDPR. Al contrario, se i dati sono “pseudonomizzati”  trovano applicazione anche le più rigorose norme sul trattamento di dati sensibili.

Ulteriori profili che sarà opportuno approfondire al momento del rilascio dell’app riguardano le modalità di conservazione dei dati raccolti, l’ubicazione e la gestione di eventuali server centralizzati sui quali le informazioni saranno raccolte o transiteranno, i soggetti a cui i dati saranno comunicati i dati e se e quando avverrà la cancellazione di tali dati.

Da ultimo, per quanto attiene alla concreta efficacia dell’app, vale sottolineare che la raccolta e il trattamento dei dati potranno divenire significativi da un punto di vista operativo solo nel caso in cui la quantità di utenti che scaricano e utilizzano la app raggiunga una percentuale estremamente consistente della popolazione (attualmente stimata in circa il 60% dei cittadini italiani). Inoltre, l’ausilio prestato dall’app si basa sull’ineludibile esigenza di individuare – nel mondo reale e non digitale – i casi di positività al virus tramite test diagnostici così da poter da tracciare e tempestivamente interrompere le catene di possibili contagi.

Smart Working per le PMI: privacy e sicurezza informatica dei dispositivi da remoto.

Smart working

Il rapido diffondersi della pandemia di Sars-CoV-2 ha determinato un profondo e traumatico cambiamento nelle modalità di esecuzione del rapporto di lavoro subordinato.

Con l’emanazione del Decreto attuativo del 23 febbraio 2020 n.6, relativo a disposizioni urgenti in materia di contenimento e gestione dell’emergenza epidemiologica, si è resa obbligatoria la sospensione di ogni attività lavorativa per le imprese, ad esclusione di quelle che possono essere svolte in modalità domiciliare ovvero in modalità a distanza”. Il successivo DPCM dell’11 marzo 2020 raccomanda che “in ordine alle attività produttive e alle attività professionali sia attuato il massimo utilizzo di lavoro in modalità agile.”

A seguito dell’emanazione di questi provvedimenti di emergenza, tutte le realtà aziendali italiane si sono trovate nella condizione di dover procedere ad una revisione del loro assetto organizzativo.

Il Ministero del Lavoro e delle Politiche Sociali, nella Legge 81/2017, definisce il lavoro agile (o smart working) come “una modalità di esecuzione del rapporto di lavoro subordinato caratterizzata dall’assenza di vincoli orari e spaziali e un’organizzazione per fasi, cicli e obiettivi, stabiliti mediante un accordo tra dipendente e datore di lavoro “. Questa definizione pone l’accento sulla flessibilità organizzativa e rimuove i vincoli legati al concetto di postazione fissa, consentendo al lavoratore di erogare la prestazione anche da remoto, grazie all’utilizzato di un’apposita strumentazione (come pc portatili, tablet e smartphone). 

Sono proprio gli strumenti tecnologici e digitali i principiali alleati che consentono la continuità aziendale e ai dipendenti di continuare a lavorare senza andare in ufficio.

Per alcune realtà aziendali strutturate lo smart working è un progetto interdisciplinare il cui regime è ampiamente collaudato, mentre, per la maggior parte delle PMI, è una materia complessa, da affrontare in emergenza.

Cerchiamo di fornire alcuni spunti pratici di riflessione.

Strumenti elettronici forniti (pc, tablet, cellulare, etc.) dal datore di lavoro

Il datore di lavoro deve dotare i lavoratori di strumenti idonei e correttamente configurati in modo da garantire un’adeguata sicurezza tecnico-informatica, altrimenti vi possono essere ricadute di responsabilità in capo al datore di lavoro.

L’azienda dovrebbe innanzitutto predisporre un documento (una cosiddetta “carta dello smart worker”) in cui siano indicate le linee guida aziendali, le regole di condotta da rispettare (ad esempio la flessibilità dell’orario di lavoro) e quali strumenti tecnologici sia possibile utilizzare da remoto.

Il datore di lavoro deve quindi essere a conoscenza di quali strumenti e tecnologie impiegare al fine di proteggere il sistema informatico aziendale, i dati raccolti e trattati (precisando che gli stessi costituiscono un asset dell’azienda) e quali misure adottare al fine di minimizzare il rischio di intrusioni illegittime alla rete.

La CNIL, l’autorità privacy francese, indica alcuni suggerimenti pratici per ogni dispositivo fornito in dotazione al lavoratore di:

  • Installare un software antivirus, un firewall (dispositivo che permette di monitorare il traffico in entrata e in uscita) e un altro strumento che limiti l’accesso a siti potenzialmente dannosi

  • Impostare una rete VPN che consenta di crittografare i dati in fase di trasmissione

  • Implementare meccanismi di autenticazione a due fattori sui servizi accessibili da remoto per limitare i rischi di intrusione

  • Utilizzare protocolli che garantiscano la riservatezza e l'autenticazione del server ricevente, ad esempio HTTPS per i siti web e SFTP per il trasferimento dei file, utilizzando le versioni più recenti di questi protocolli

  • Controllare regolarmente i registri di accesso a distanza per individuare comportamenti sospetti ed eventuali accessi non autorizzati

  • Limitare il numero di servizi disponibili da remoto in modo da ridurre il rischio di attacchi ed intrusioni

  • Prevedere una procedura standardizzata in caso di guasto o di perdita del terminale che consenta di cancellare da remoto tutti i dati aziendali archiviati

Strumenti elettronici di proprietà del lavoratore

Gli strumenti non devono essere necessariamente di proprietà del datore di lavoro.

La possibilità di impiegare strumenti tecnologici di proprietà del lavoratore per eseguire la prestazione lavorativa in smartworking (in inglese indicato con l’acronimo BYOD che significa “bring your own device”) è una scelta riservata al datore di lavoro, che può permetterlo a determinate condizioni e vietarlo in altre.

Questa scelta deve però essere il risultato di una ponderata valutazione poiché il datore di lavoro è responsabile della sicurezza dei dati personali e aziendali anche nel caso in cui questi siano trattati e conservati in dispositivi sui quali egli non esercita alcun effettivo controllo ma di cui ha autorizzato l'utilizzo per accedere a risorse informatiche dell'azienda.

Al fine precauzionale è indispensabile procedere alla valutazione dei rischi tenendo in considerazione il contesto specifico (quale apparecchio e quali applicazioni vengono impiegate per avere accesso o trattare quale tipo di dati) e fare una stima in termini di gravità e probabilità, così da implementare le misure di sicurezza necessarie e adeguate al caso concreto.

Se il datore di lavoro decidesse di consentire l’uso di strumenti personali del lavoratore, una buona prassi è quella di richiedere di “compartimentare” il device, in modo da separare le sezioni destinate all’utilizzo in un contesto professionale da quelle invece riservate alla sfera personale e individuale. 

Non è però possibile adottare misure di sicurezza che abbiano lo scopo o l'effetto di limitare le funzionalità del dispositivo di proprietà del lavoratore, ad esempio impedendo il download di applicazioni mobili, l’utilizzo di social networks o di altri sistemi di messaggistica istantanea.

Software di videoconferenza

Uno strumento di fondamentale importanza nell’ambito dello svolgimento di attività lavorativa da remoto è rappresentato dalle applicazioni di videoconferenza, che nelle ultime settimane sono state scaricate da milioni di utenti in tutto il mondo.

Gli strumenti di videoconferenza si basano sulla tecnologia VoIP (Voice over IP) che consente di comunicare tramite il microfono e/o la webcam e richiedono una connessione ad Internet.

Noyb, Centro Europeo per i Diritti Digitali con sede a Vienna, ha svolto una dettagliata analisi relativa alla privacy policy dei servizi di video conferenza forniti dalle principali società che operano nel settore (Zoom, Riunioni Webex (Cisco), Riunioni (LogMeIn), Skype e Team (entrambi Microsoft) e Wire).

Dal report Noyb emerge che le privacy policy relative a tali servizi sono eccessivamente generiche e non trasparenti, e nessuna applicazione di video meeting sembra essere considerata completamente conforme al regolamento europeo in materia di data protection (Regolamento UE 679/2016 o GDPR).

I ruoli privacy non sono correttamente individuati (quello di Titolare del Trattamento e di Responsabile del trattamento) e vi sia assenza di collegamento tra categorie di dati, finalità del trattamento e la base giuridica per ogni finalità. Inoltre, nessuna tra le maggiori aziende fornitrici di servizi di video conferenza è sufficientemente trasparente sul tema della condivisione dei dati con terze parti.

Basti per questo citare l’illecita condivisione di dati personali anche sensibili tra Zoom e Facebook, che Facebook ultizza(va) per svolgere un’attività di profilazione degli utenti (senza il loro consenso) e per creare inserzioni pubblicitarie personalizzate.

Fondamentalmente queste applicazioni di video conferenza sfruttano diversi modelli di business:

1.   Un abbonamento opzionale a un servizio che può fornire funzionalità aggiuntive o il debug di alcune funzionalità di base (come il numero massimo di utenti simultanei su un server)

2.   Pubblicità (che può essere, sul telefono, in-app o off-app)

3.   Apparentemente gratuito. Ma in realtà non è vero perché quando il servizio è gratuito significa che il provider monetizza cedendo a terzi o trattando in altro modo i dati degli utenti.

Le informazioni raccolte non si limitano necessariamente a quanto direttamente fornito dall’utente ma possono estendersi ad altri tipi di dati tecnici che ne consentono l’identificazione (indirizzo IP, identificativo del dispositivo, cookie o tecnologie simili).

Secondo la CNIL è importante:

  • utilizzare soluzioni certificate da enti affidabili e terzi

  • evitare di scaricare l'applicazione da un sito web o da una fonte sconosciuta

  • utilizzare solo applicazioni per le quali il produttore indica chiaramente come i vostri dati vengono riutilizzati (nell'applicazione stessa o sul suo sito web, ad esempio);

  • leggere i commenti degli utenti nei forum di discussione o, dal telefono, nei negozi di applicazioni;

  • verificare che l'editore disponga di misure di sicurezza essenziali, come la crittografia delle comunicazioni end-to-end;

  • proteggere la tua rete Wi-Fi con una password forte abilitando la crittografia WPA2 o WPA3;

  • assicurarsi che l’antivirus ed il firewall siano aggiornati.

Di questi tempi il datore di lavoro si trova necessariamente a dovere effettuare una valutazione dei rischi derivanti dall’utilizzo di tecnologie che consentono la prosecuzione delle attività lavorative e una maggiore probabilità di incorrere in criticità che impattano sulla sicurezza della rete informatica e sui dati trattati.

Tali valutazioni dovranno essere annotate nel registro delle attività di trattamento (art. 30 GDPR), che dovrà essere necessariamente aggiornato, come del resto le informative privacy dei dipendenti in smart working.

Si tratta del documento contenente le principali informazioni relative alle operazioni di trattamento svolte dall’azienda e volto a dimostrarne l’accountability.

Privacy e rapporti di lavoro durante l’emergenza Coronavirus: i controlli del datore di lavoro.

Il Garante Privacy ha recentemente emesso una nota informativa riguardo alla possibilità di raccogliere, da parte dell’azienda, all’atto della registrazione di visitatori e utenti, informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura di prevenzione dal contagio.

Il Garante precisa che i datori di lavoro devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.

L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.

Resta fermo l’obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro.

Nel caso in cui, nel corso dell’attività lavorativa, il dipendente venga in relazione con un caso sospetto di Coronavirus, lo stesso, anche tramite il datore di lavoro, dovrà comunicare la circostanza ai servizi sanitari competenti e ad attenersi alle indicazioni di prevenzione fornite dagli operatori sanitari interpellati.

Le autorità competenti hanno, inoltre, già previsto le misure di prevenzione generale alle quali ciascun titolare dovrà attenersi per assicurare l’accesso dei visitatori a tutti i locali aperti al pubblico nel rispetto delle disposizioni d’urgenza adottate.

Interessante la prospettiva dell’autorità privacy francese la CNIL che, sulla stessa materia, ha recentemente previsto il divieto di: • letture obbligatorie della temperatura corporea di ogni dipendente/agente/visitatore da inviare quotidianamente ai suoi superiori; • la raccolta di cartelle cliniche o questionari da tutti i dipendenti/agenti.

In questo contesto, il datore di lavoro può: • sensibilizzare e invitare i propri dipendenti a fornire un feedback individuale delle informazioni che li riguardano in relazione alla possibile esposizione, al datore di lavoro o alle autorità sanitarie competenti; • facilitare la loro trasmissione impostando, se necessario, canali dedicati; • promuovere metodi di lavoro a distanza.

In caso di segnalazione, il datore di lavoro può registrare: • la data e l'identità della persona sospettata di essere stata esposta; • le misure organizzative adottate (contenimento, telelavoro, orientamento e contatto con il medico del lavoro, ecc.) • il datore di lavoro può quindi comunicare alle autorità sanitarie, su richiesta, le informazioni relative alla natura dell'esposizione necessarie per qualsiasi assistenza sanitaria o medica della persona esposta.

SOS Italia. Privacy & Big Data ai tempi del Covid 19

hqdefault.jpg

Il drammatico evolversi della crisi sanitaria legata al Covid-19 sul territorio italiano ha richiesto al Governo di porre in essere misure eccezionali per far fronte a questa emergenza, incluso il ricorso a nuovi strumenti tecnologici mai precedentemente impiegati dalle istituzioni nazionali.

Il 20 marzo 2020, il Ministero per l’Innovazione Tecnologica, congiuntamente al Ministero dello Sviluppo Economico e al Ministero dell’Università e della Ricerca, ha rivolto un invito a tutti gli operatori dell’ecosistema digitale italiano, affinché contribuissero a semplificare la gestione della pandemia da parte del Governo mediante lo sviluppo di piattaforme digitali e di altri sistemi per l’elaborazione di dati.

E’ così nata l’app mobile “SOS Italia”, progetto realizzato dall’Associazione Italiana Digital Revolution, in collaborazione con la software house Sielte, che si presume sarà a breve disponibile sui digital store dei sistemi operativi iOs e Android.

SOS Italia” si pone l’obiettivo di monitorare e contenere la diffusione del Covid-19 attraverso un’interfaccia user-friendly (log in tramite Google, Facebook, sms con OTP su numero di telefono e integrazione nativa con SPID) che consentirà ai cittadini di reperire facilmente le comunicazioni ufficiali rese dal Governo, le regole di condotta da adottare, i numeri da chiamare in caso di emergenza ed altre informazioni utili.

Il cittadino potrà compilare un questionario con finalità di autodiagnosi e comunicare alle autorità il proprio stato di isolamento obbligatorio o preventivo, la presenza di sintomi e la positività al virus.

Ogni utente potrà anche scegliere di digitalizzare le proprie autocertificazioni per gli spostamenti consentiti e ricevere notifiche nel caso in cui vi sia il rischio che sia incorso in un contagio. Ciò sarà possibile perché, una volta che il soggetto avrà volontariamente scaricato l’app, la funzionalità GPS rimarrà attiva anche se l’utente non sta utilizzando l’applicazione. In questo modo si potrà creare una mappatura di tutti i luoghi frequentati dal singolo individuo e costruire un registro delle persone con cui il soggetto è venuto a contatto.

Analogamente a quanto già sperimentato in Corea del Sud, anche in Italia si tenta, pertanto, una risposta tecnologica, basata sull’utilizzo di Big Data e algoritmi, per porre un freno alla curva dei contagi. Ma, se da una parte le funzionalità tecniche dell’applicazione forniscono strumenti di indiscussa rilevanza per il monitoraggio e il contenimento della pandemia, d’altra parte preoccupano le inevitabili implicazioni in materia di data protection.

Durante una crisi sanitaria su scala nazionale e globale, la protezione del primario diritto alla salute si pone potenzialmente in contrasto con una serie di altri valori meritevoli di tutela. La gestione dell’attuale emergenza comporta inevitabilmente la restrizione, da parte delle autorità, di diritti fondamentali, tra cui, la libertà personale e la tutela dei dati personali (privacy).

Esaminiamo gli aspetti privacy. Il GDPR prevede la liceità del trattamento dei dati, pure relativi a categorie particolari, anche senza l’espresso consenso dell’interessato, quando il trattamento è necessario per salvaguardare i suoi interessi vitali (o quelli di altra persona fisica), ovvero quando sia indispensabile per l’espletamento di un compito di interesse pubblico. Sulla base di questa previsione, quindi, il trattamento dei dati della persona fisica, compresi quelli relativi alla sua salute, può avvenire indipendentemente dal rilascio del consenso quando la finalità del suddetto trattamento sia quella di limitare la diffusione del Covid-19.

Per quanto riguarda il trattamento dei dati delle telecomunicazioni, come i dati relativi all'ubicazione, devono essere rispettate anche le leggi nazionali di attuazione della direttiva relativa alla vita privata e alle comunicazioni elettroniche (c.d. direttiva e-privacy). La direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica.

Il d.l. 14/2020, contenente disposizioni urgenti per il potenziamento del Servizio Sanitario Nazionale in relazione all’emergenza Covid-19,  prevede la possibilità che i soggetti operanti nel Servizio Nazionale di Protezione Civile, gli uffici del Ministero della Sanità e dell’Istituto Superiore di Sanità e tutti gli altri soggetti deputati a monitorare e a garantire l'esecuzione delle misure di contenimento della pandemia,  possano condividere e scambiare  tra loro dati personali dei cittadini (inclusi quelli relativi allo stato di salute) che risultino necessari all’espletamento delle loro funzioni. Tali soggetti possono anche omettere di fornire l’informativa privacy (come anche le istruzioni agli incaricati del trattamento) o fornirla solo oralmente.

Tale decreto, esplicita anche che i trattamenti di dati personali debbano essere comunque effettuati conformemente ai principi di liceità, trasparenza e correttezza previsti dall’articolo 5 del GDPR, riducendo al minimo il loro trattamento (principio di minimizzazione).

Ad oggi, però, non risulta essere chiaro come tali principi verranno puntualmente attuati e chi, tra le diverse autorità in gioco, sarà di fatto individuato quale soggetto titolare del trattamento dei dati e quali enti, pubblici e privati, saranno i responsabili del suddetto trattamento.

Uno dei temi che desta maggiore preoccupazione è quello che riguarda il trattamento dei dati relativi all’ubicazione dei cittadini e su come questi possano essere utilizzati dalle autorità.

In varie interviste, il Garante Privacy, nella persona del suo presidente, ha ribadito che il diritto alla privacy può soggiacere a talune limitazioni di fronte ad un interesse collettivo, purché venga assicurato il necessario bilanciamento tra tutela dei diritti individuali e salvaguardia dei beni giuridici collettivi, anche prevedendo che ogni eventuale legge in deroga abbia una durata definita e coincidente con il periodo di emergenza.

Una questione inevitabilmente connessa riguarda, inoltre, il tempo di conservazione dei dati, che dovrà essere anch’esso limitato al suddetto periodo di emergenza e dovrà essere chiarito prima quali saranno le operazioni di trattamento consentite al termine del periodo emergenziale e che sorte avranno i dati raccolti.

Il Garante Privacy ha chiarito che “la protezione dati può persino essere uno strumento utilissimo nell'azione di contrasto dell'epidemia, quando quest'azione sia fondata su dati e algoritmi, dei quali va garantita esattezza, qualità e revisione "umana", ove necessario, come nel caso di decisioni automatizzate errate perché fondate su bias.”. 

A questo proposito, continua il Garante Privacy, un decreto-legge potrebbe coniugare tempestività della misura e partecipazione parlamentare. Va da sé che la durata deve essere strettamente collegata al perdurare dell'emergenza.

Nella dichiarazione congiunta del Presidente della Convenzione 108 ed del Commissario per la protezione dei dati del Consiglio d’Europa vi è un interessante indicazione sull’uso di test preliminari in "sandbox", e cioè il consiglio di testare l’app in un ambiente sicuro e privato prima di rilasciarla al pubblico.

Il Garante Privacy potrà essere, se del caso, coinvolto in sede di consultazione preventiva, ma in ogni caso le logiche del trattamento e le misure di sicurezza, dovranno essere verificati da consulenti esperti in grado di elaborare corrette architetture privacy ed impostare operazioni di trattamento - by design e by default - rispettose dei nostri diritti fondamentali.

In conclusione, la privacy non è di ostacolo al trattamento massivo di dati, anche sensibili, ma tali operazioni, che incidono su nostri diritti fondamentali, debbono essere efficaci, graduali ed adeguate.

Coronavirus (Covid-19) e ripercussioni sull'attività lavorativa.

download.jpg

Nella tristemente nota situazione di emergenza sanitaria dovuta alla diffusione del Coronavirus, lo Stato ha adottato una serie di misure urgenti restrittive al fine di contenere la diffusione epidemiologica da Covid-2019.

In particolare il D. L. 23 febbraio 2020, n. 6, ha disposto che, per “evitare il diffondersi del COVID-19, nei comuni  o nelle aree nei quali risulta positiva almeno una persona per la quale non si conosce la fonte di trasmissione … le   autorità competenti sono tenute ad adottare  ogni  misura  di  contenimento” e “tra le misure possono essere adottate” tra le altre, la “chiusura di tutte le attività commerciali”, la “chiusura o limitazione  dell’attività  degli  uffici  pubblici”, “sospensione  delle  attività  lavorative  per  le  imprese”: in una parola, la sospensione di ogni potenziale attività lavorativa (salvo si tratti di servizi pubblici essenziali o di prima necessità) sia nelle zone rosse in cui sono stati identificati dei “focolai” sia nelle zone “gialle”, ovvero, le zone a rischio di diffusione (Lombardia, Veneto, Piemonte, Liguria, Trentino-Alto Adige, Friuli ed Emilia Romagna).

Tale paralisi ha fatto sorgere la necessità di ricorrere anche a forme di svolgimento di prestazioni lavorative “delocalizzate” per ridurre l’impatto dalla sospensione delle attività tanto che, con successivo DPCM del 25/2/2020, il Governo ha sancito che “la modalità di lavoro agile disciplinata dagli articoli da 18 a 23 della legge 22 maggio 2017, n.  81, è applicabile in via provvisoria, fino al 15 marzo 2020, per i datori di lavoro aventi sede legale o operativa nelle Regioni Emilia Romagna, Friuli Venezia Giulia, Lombardia, Piemonte, Veneto e Liguria, e per i lavoratori ivi residenti o domiciliati che svolgano attività lavorativa fuori da tali territori, a ogni rapporto di lavoro subordinato, nel rispetto dei principi dettati dalle menzionate disposizioni, anche in assenza degli accordi individuali ivi previsti”.

Al di fuori delle prescrizioni governative, le ulteriori misure a cui ricorrere per il contenimento delle conseguenze negative derivanti dalla sospensione delle attività lavorative potrebbero consistere nel ricorso alla Cassa Integrazione Guadagni o ai Fondi di Integrazione Salariale sempre che ne ricorrano i presupposti.

Altra misura a cui ricorrere potrebbe consistere nel collocare i dipendenti in ferie o nel fare smaltire ore di permessi sempre che, ovviamente, tali misure venga concordata e non imposta ai dipendenti.

Senza pretesa di esaustività, i suggerimenti sopra evidenziati costituiscono meri spunti di riflessione in attesa dell’auspicato rientro della situazione di emergenza sanitaria.