Cybersecurity, ambiente e resilienza: il Decennio Digitale Europeo secondo il Consiglio UE

Il Consiglio dell’Unione europea (UE) ha recentemente pubblicato nuove conclusioni in materia di difesa e cybersecurity per il programma del Decennio Digitale Europeo, adottato dalla Commissione Europea e dall’Alto rappresentante per gli Affari Esteri nel Dicembre del 2020 su invito del Consiglio europeo. Continua a leggere “Cybersecurity, ambiente e resilienza: il Decennio Digitale Europeo secondo il Consiglio UE”

Una nuova strategia europea in materia di dati viene annunciata

La Commissione europea ha presentato il 19 febbraio un documento che svela la strategia europea per i dati. L’obiettivo è quello di rendere l’Europa un role model della data driven economy grazie all’adozione di un solido sistema normativo che si concentri sulla protezione dei dati, dei diritti fondamentali, e sulla sicurezza anche attraverso la creazione di un mercato unico in cui i dati personali e non siano sicuri e facilmente accessibili con il fine di stimolare la crescita economica e la creazione di valore, riducendo allo stesso tempo al minimo l’impatto ambientale dell’uomo.

Il documento strategico espone una serie di preoccupazioni, problemi ed ostacoli alla realizzazione della strategia europea per i dati tra i quali il dominio delle grandi imprese tecnologiche sul mercato che permette a quest’ultime di dettare in maniera unilaterale le regole e le condizioni per l’accesso e l’utilizzo ai dati. A tal proposito, la Commissione prevede l’adozione di regole volte ad assicurare la circolazione dei dati all’interno dell’Unione europea, il libero accesso e l’utilizzo degli stessi nel pieno rispetto delle regole e dei valori europei, in particolare in termini di protezione dei dati personali, dei consumatori e delle norme sulla concorrenza.

La strategia per i dati della Commissione prevede l’istituzione di un quadro di governance intersettoriale per l’accesso e l’utilizzo dei dati che disciplini come i dati possano essere utilizzati e in quali circostanze, facilitandone l’uso transfrontaliero e l’interoperabilità tra i settori. Inoltre, la Commissione si adopererà per garantire sempre di più il libero accesso ai dati del settore pubblico in considerazione del loro potenziale per le piccole e medie imprese, adottando tutte le misure legislative necessarie al fine di incentivare la condivisione orizzontale dei dati tra i diversi settori, in particolare affrontando le questioni relative ai diritti d’uso dei dati generati in comune (ad esempio i dati generati dalle tecnologie di IoT nell’ambito industriale) ed individuando alcuni casi nei quali l’accesso ai dati dovrà essere garantito obbligatoriamente.

La Russia sanziona Twitter e Facebook per la conservazione dei dati su server non locali

Twitter e Facebook sono state condannate a pagare una multa dell’ammontare di 4 milioni di rubli (l’equivalente di circa 59.000 euro) per aver rifiutato di localizzare i dati dei cittadini russi su server situati nello Stato. Tale procedimento ha preso il via lo scorso gennaio, quando l’autorità di vigilanza russa nel settore delle telecomunicazioni (“Roskomnadzor”) aveva avviato un procedimento amministrativo contro Facebook Inc. e Twitter Inc., contestando alle stesse di non aver fornito informazioni relative al rispetto dei requisiti per la localizzazione di database e server che contengono dati degli utenti russi, come previsto dall’art. 18 della legge russa sui dati personali.

L’obiettivo perseguito dall’Autorità è quello di impedire la delocalizzazione dei dati e, così facendo, imporre ai colossi della tecnologia, tra cui Facebook, Twitter e Google, di conservare i dati relativi ai cittadini russi su server localizzati in Russia, permettendo quindi al governo di monitorarli.

Secondo quanto riportato dai media, si tratta delle sanzioni più elevate comminate dal Cremlino a società informatiche occidentali in base alle leggi sull’uso di Internet dal 2012, anno nel quale la Russia ha approvato un corpus normativo che rafforzasse la presa del governo sull’attività online.

L’Autorità ha altresì chiarito che il protrarsi del rifiuto delle società a procedere con la localizzazione dei dati in Russia per l’anno in corso comporterebbe a carico delle stesse ulteriori sanzioni per un ammontare pari a 18 milioni di rubli (circa 242.000 euro) ciascuna.

Si tratta di una questione di particolare interesse, dato che il testa a testa Cremlino-social network potrebbe anche concludersi con il bando delle due società. Non sarebbe d’altronde la prima volta: è già successo a LinkedIn, nel 2016, in base alla legislazione sulla localizzazione dei dati e, più di recente, ad un service provider di posta elettronica criptata, in quanto, secondo l’autorità di vigilanza, tale strumento veniva impiegato nell’ambito del cyber crime, per attività di phishing.

Pubblicato il nuovo piano ispettivo del Garante per il primo semestre 2020

È stato reso disponibile sul sito del Garante il nuovo programma dell’attività ispettiva, curata in collaborazione con la Guardia di finanza (Nucleo speciale tutela privacy e frodi tecnologiche), relativo al periodo gennaio-giugno 2020. Da quanto emerge dalla deliberazione in oggetto, gli accertamenti condotti dall’Autorità (disposti nel numero di 80 in totale) copriranno uno spettro piuttosto particolareggiato di tipologie di trattamenti.

Sarà anzitutto valutata la compliance alla normativa privacy di quei soggetti operanti nel settore della sanità, con particolare attenzione ai trattamenti effettuati da enti pubblici coinvolti nell’ambito della “medicina di iniziativa” e dalle società multinazionali del settore farmaceutico e sanitario.

Sotto la lente di ingrandimento anche i trattamenti effettuati nel quadro dei servizi bancari online e da intermediari per la fatturazione elettronica, nonché di quelli rientranti nell’ambito di attività di food delivery, marketing, profilazione (relativamente agli interessati che aderiscono a carte di fidelizzazione) e banche dati reputazionali.

Altre ispezioni del Garante saranno indirizzate a verificare il rispetto delle norme privacy nell’uso di software per la gestione delle segnalazioni di condotte illecite (il cosiddetto “whistleblowing”), e alle attività effettuate dagli enti pubblici in merito al rilascio di certificati anagrafici e di stato civile tramite l’Anagrafe nazionale della popolazione residente.

Ancora, con riferimento a profili di interesse generale per categorie di interessati, si prevedono poi verifiche nell’ambito delle violazioni della sicurezza dei dati (i c.d. “data breach”).

Infine, ulteriori controlli saranno condotti in merito all’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano particolari categorie di dati personali, sul rispetto delle previsioni inerenti la corretta informazione degli interessati, sui presupposti di liceità del trattamento, nonché in relazione alle condizioni per la prestazione del consenso – qualora il trattamento sia basato su tale presupposto – e sulla durata della conservazione dei dati.

Alla luce di quanto precede, risulta evidente pertanto che il programma delle attività di ispezione che avranno luogo nel semestre entrante, da una parte, si pone in linea di continuità con le verifiche effettuate negli anni precedenti dal Garante (i.e. i trattamenti inerenti l’ambito bancario, quelli effettuati dagli enti pubblici, le attività di marketing e profilazione, la fatturazione elettronica, il whistleblowing, il food delivery), dall’altra, invece, introduce profili di novità, evidenziando un maggiore interesse rispetto alle ipotesi di data breach, nonché con riferimento al settore farmaceutico e sanitario.

Data protection: Tinder nel mirino dell’autorità di controllo irlandese

La Data Protection Commission (“DPC”), ossia l’autorità garante privacy irlandese ha annunciato l’avvio di un indagine formale nei confronti di Tinder, nota app di incontri che ha registrato un record di download nel 2019.

Il comunicato ufficiale pubblicato dall’Autorità riporta che l’indagine ha preso il via a seguito di molteplici reclami presentati non soltanto in Irlanda, ma anche in altri Paesi dell’Unione Europea, evidenziando carenze di conformità alla normativa europea sulla protezione dei dati personali. In particolare, si evidenziava un difetto di trasparenza del trattamento, lamentando altresì il mancato rispetto, da parte dell’azienda, degli obblighi relativi alle richieste di diritti dell’interessato.

Alla luce di quanto precede, l’Autorità stessa ha così dato avvio, di propria iniziativa, ad un’indagine transfrontaliera, attivando il meccanismo di cooperazione tra le autorità garanti europee coinvolte secondo quanto previsto ai sensi del GDPR. In tale quadro operativo la DPC, essendo l’autorità dello stabilimento principale nell’UE del titolare del trattamento, agirà in qualità di autorità capofila, dovendo interpellare, nel corso delle attività, le altre autorità di controllo coinvolte e dovendo altresì tenere conto di qualsiasi obiezione pertinente e motivata sollevata eventualmente da taluna di queste ultime, prima di assumere qualsiasi provvedimento.

L’obiettivo annunciato dell’indagine è pertanto quello di stabilire se il trattamento operato da parte della società sui dati personali dei propri utenti, in qualità di titolare del trattamento, sia fondato su basi legittime adeguate, se abbia correttamente adempiuto agli obblighi di trasparenza, nonché se la stessa abbia dato correttamente riscontro alle richieste dell’interessato, agendo in conformità con la disciplina privacy applicabile.

Dopo Facebook potrebbe arrivare il turno di Google

A poco più di una settimana di distanza dalla notizia dell’accordo raggiunto tra Facebook e le autorità giudiziarie americane per il quale la società californiana si impegnava a pagare 550 milioni di dollari a seguito della violazione dell’Illinois Biometric Privacy Law, adesso sembra essere arrivato il turno di Google. Anche in questo caso oggetto della class action contro il gigante tech è il mancato raccoglimento del consenso degli utenti, come richiesto dalla legge sulla protezione dei dati dello stato dell’Illinois, per la raccolta e il trattamento di dati sensibili tra i quali i dati biometrici che venivano acquisiti tramite l’utilizzo di un software di riconoscimento facciale. Secondo i proponenti dell’azione legale, la tecnologia impiegata da Google scannerizzava ogni foto caricata nella piattaforma cloud Google Photos estraendo gli identificatori biometrici dei soggetti rappresentati, l’insieme di questi dati veniva poi utilizzato dalla società per creare dei modelli di ogni viso, il tutto senza il consenso degli interessati.

Il trattamento dei dati personali nel contesto dei connected vehicles: pubblicate dall’EDPB le nuove Linee guida 1/2020

Il 7 febbraio 2020 l’European Data Protection Board (“EDPB”) ha pubblicato le Linee guida inerenti il trattamento dei dati personali nel contesto dei veicoli collegati e delle applicazioni relative alla mobilità, in consultazione pubblica fino al prossimo 20 marzo.

I veicoli stanno diventando enormi centri di raccolta dati personali in grado di fornire informazioni sui conducenti o su altri soggetti all’interno o all’esterno dello stesso: i sensori, le scatole telematiche o le applicazioni relative all’ambiente di guida raccolgono e registrano, per le più svariate finalità (tra cui la sicurezza del conducente, l’efficienza dei trasporti, l’intrattenimento o i servizi di informazione) i comportamenti degli utenti, le loro abitudini di guida, i luoghi visitati e, potenzialmente, anche dati biometrici. Tali dati potranno poi essere trattati soltanto all’interno del veicolo oppure trasmessi a dispositivi collegati (e.g., lo smartphone dell’utente) o a soggetti terzi (quali costruttori di veicoli o compagnie di assicurazione), dando vita ad un ecosistema complesso, che non si limita ai tradizionali attori dell’industria automobilistica, ma è plasmata anche dall’emergere di nuovi attori appartenenti all’economia digitale.

Le sfide sono molteplici e vanno dal rischio di una forte asimmetria informativa, a quello di un’eccessiva raccolta di dati rispetto ai singoli scopi. Tra le altre, forti criticità anche in relazione alla prestazione di un eventuale consenso, con problematiche relative non soltanto alla qualità dello stesso consenso, ma anche rispetto alle effettive modalità con cui quest’ultimo verrebbe prestato (si pensi ai casi dei veicoli usati, in leasing o in prestito).

Tra le altre misure idonee a garantire un’effettiva protezione dei dati personali, l’EDPB raccomanda in particolare l’implementazione di un sistema di gestione dei profili in grado di centralizzare tutte le impostazioni dei dati per ogni trattamento nonché di memorizzare le preferenze dei conducenti, consentendo la possibilità di modificare agevolmente le impostazioni privacy. Essenziale è altresì garantire la sicurezza e la riservatezza dei dati, limitando quanto più possibile il trasferimento al di fuori del veicolo e adottando sistemi di cifratura in grado di pseudonomizzare o anonimizzare i dati.

In conclusione, è necessario che gli stakeholder adottino il modello di protezione dei dati personali by design. Infatti, soltanto un approccio “GDPR-oriented” fin dalla fase di progettazione del prodotto può rafforzare la fiducia degli utenti e, quindi, lo sviluppo a lungo termine di tali tecnologie.

Cybersecurity e GDPR: l’ENISA lancia una piattaforma online per la sicurezza del trattamento dei dati personali

In occasione del Data Protection Day 2020, il 28 gennaio, la European Union Agency For Cybersecurity (ENISA) ha lanciato una piattaforma online volta a fornire uno strumento a supporto delle organizzazioni pubbliche e private nel percorso di implementazione del GDPR in tema di privacy by design e sicurezza del trattamento dei dati personali, suggerendo a tal fine l’adozione di un “risk-based approach”.

L’iniziativa si pone a valle di una serie di attività promosse dall’Agenzia dell’UE per la sicurezza informatica nel corso degli ultimi anni e, in particolare, riprende lo stesso approccio basato sul rischio proposto dalla stessa nelle linee guida pubblicate nel 2018, trasponendo nella piattaforma la suddivisione in fasi prospettata in linea teorica nelle suddette linee guida e predisponendo un elenco di misure di sicurezza ritenute adeguate al rischio presentato. Tale strumento peraltro si costituisce non soltanto come mezzo di valutazione del livello di rischio per la sicurezza, ma altresì quale valido supporto nell’attività di autovalutazione della sicurezza, fornendo quindi, a tale ulteriore scopo, un meccanismo di controllo supplementare in relazione alle misure adottate da una società rispetto al livello di rischio percepito o identificato.

L’approccio dell’ENISA può essere vantaggioso soltanto per quelle società già consapevoli dell’importanza del tema della sicurezza dei dati personali all’interno dei propri sistemi di gestione aziendali, integrandosi quindi in un più ampio contesto di effettiva conformità e responsabilità per la protezione dei dati personali. La piattaforma online dell’ENISA è esplicitamente incentrata sulla sicurezza del trattamento dei dati personali e non costituisce pertanto uno strumento di valutazione dell’impatto sulla protezione dei dati (c.d. “DPIA” – Data Protection Impact Assessment), che è di natura più ampia. Tuttavia, è senz’altro possibile utilizzare l’output della piattaforma ENISA nel contesto di una DPIA, con riferimento agli aspetti inerenti la sicurezza del trattamento dei dati personali.

Da ultimo, nella relazione di accompagnamento alla piattaforma, l’ENISA rimarca l’importanza di un aggiornamento costante in tema di nuove minacce alla sicurezza dei dati personali, invitando a tal proposito sia i privati che gli enti pubblici a continuare a lavorare sull’elaborazione di casi d’uso ed esempi di best practice per fornire soluzioni tecniche alle crescenti minacce alla sicurezza in diversi settori, nonché a promuovere soluzioni che spingano nella direzione della standardizzazione e di una sempre più consistente sinergia tra i diversi quadri di certificazione nel settore.

Facebook pagherà 550 milioni di dollari per risolvere una class action sull’uso improprio del riconoscimento facciale.

Facebook ha accettato di pagare $ 550 milioni per risolvere una causa intentata dai consumatori dello stato dell’Illinois risalente al 2015. La class action aveva ad oggetto il servizio offerto dalla compagnia di “tag suggestions” che suggeriva all’utente i tag da applicare alle fotografie caricate sul social in base ad una tecnologia di riconoscimento facciale. Il software impiegato dalla compagnia di Menlo Park, attraverso la scansione delle immagini, era in grado di riconoscere il volto delle persone fotografate e suggerire all’utente il tag corretto da applicare, permettendo, allo stesso tempo, al social network di raccogliere i dati biometrici di milioni di utenti senza il loro consenso, in violazione dell’Illinois Biometric Information Privacy Act. Lo scorso anno la compagnia americana aveva già accettato di pagare 5 miliardi di dollari per chiudere le indagini della Federal Trade Commission, l’agenzia americana per la tutela dei consumatori, che investigava sulle pratiche attuate dal social in violazione della privacy dei suoi utenti.