Pubblicato il

Garante privacy: sanzione a Wind e Iliad!

Operatori telefonici: continua l’attività di controllo del Garante privacy, sanzione a Wind per 17 milioni di euro e a Iliad per 800 mila euro

Continua l’attività di controllo del Garante per la protezione dei dati personali nei confronti degli operatori telefonici anche a seguito delle centinaia di segnalazioni e reclami che settimanalmente pervengono all’Autorità per lamentare casi di “marketing selvaggio”.

Nell’ambito di tali attività di controllo, nella riunione del 9 luglio scorso, l’Autorità ha sanzionato Wind Tre Spa per circa 17 milioni di euro per numerosi trattamenti illeciti di dati, legati prevalentemente ad attività promozionali. Per analoghe violazioni, la società era già stata destinataria di un provvedimento inibitorio e prescrittivo quando era ancora in vigore il vecchio Codice privacy.

Il nuovo provvedimento è stato adottato all’esito di una complessa attività istruttoria ed ispettiva. Gli utenti lamentavano la ricezione di contatti promozionali indesiderati, effettuati senza consenso tramite sms, e-mail, fax, telefonate e chiamate automatizzate. In numerosi casi, inoltre i segnalanti dichiaravano di non esser stati messi in grado di poter esercitare il proprio diritto di revoca del consenso o di opposizione al trattamento dei loro dati per finalità di marketing (anche a causa di imprecisioni nell’indicazione dei canali di contatto presenti nell’informativa). In altri casi veniva lamentata la pubblicazione di dati personali negli elenchi telefonici pubblici nonostante l’opposizione (a volte reiterata) degli interessati.

Dall’istruttoria è inoltre emerso che le app MyWind e My3 erano impostate in maniera tale da obbligare l’utente a fornire, ad ogni nuovo accesso, una serie di consensi per diverse finalità di trattamento (marketing, profilazione, comunicazione a terzi, arricchimento e geolocalizzazione), salvo poi consentire di revocarli trascorse 24 ore.

Al di là di queste lacune “di sistema”, gli accertamenti del Garante hanno messo in luce diversi gravi illeciti nella filiera dei partner commerciali di Wind Tre, anche con impropria attivazione di contratti. Per queste violazioni, uno dei partner del gestore telefonico – che aveva sub affidato (peraltro senza alcun atto giuridico) intere fasi dei trattamenti a call-center che raccoglievano i dati illecitamente – è stato multato per 200mila euro dal Garante e si è visto imporre il divieto di utilizzare i dati raccolti e trattati da agenti presenti sul territorio nazionale (denominati “procacciatori”) in totale spregio delle norme in materia di protezione dati.

Le argomentazioni portate a propria difesa da Wind Tre e la serie di misure correttive implementate dalla società, anche riguardo alla centralizzazione delle campagne promozionali, non sono state ritenute adeguate dal Garante. Oltre a sanzionare la società telefonica per 16.729600 euro, l’Autorità ha vietato a Wind il trattamento dei dati acquisiti senza consenso e le ha ordinato di adottare misure tecniche e organizzative per un effettivo controllo della filiera dei partner, nonché procedure per rispettare la volontà degli utenti di non essere disturbati.

Nel corso della stessa riunione del 9 luglio, il Garante ha preso in esame anche le risultanze degli accertamenti disposti nei confronti di un altro gestore telefonico, Iliad, che è stato trovato carente sotto altri profili, in particolare in merito alle modalità di accesso dei propri dipendenti ai dati di traffico e che per tali ragioni, è stato sanzionato per 800.000 euro.

Roma, 13 luglio 2020

Fonte: Garante Privacy

Pubblicato il

COVID-19: FAQ del Garante privacy su app nazionale di contact tracing e app regionali

Può una Regione consentire l’accesso sul proprio territorio solo a condizione che l’interessato installi e utilizzi una app? La mancata installazione dell’app “Immuni” può comportare conseguenze per l’interessato? Quale è la base giuridica delle altre app, diverse da quelle di telemedicina, utilizzate per il contrasto al Covid 19?

A questi e ad altri quesiti rispondono le Faq pubblicate dal Garante per la protezione dei dati personali sulle problematiche connesse alla realizzazione dell’app nazionale di tracciamento, nonché di altre app da parte di soggetti pubblici o strutture sanitarie.

Le Faq, disponibili da oggi sul sito dell’Autorità www.garanteprivacy.it, contengono indicazioni di carattere generale, anche ispirate alle risposte fornite a reclami, segnalazioni, quesiti ricevuti dall’Ufficio in questo periodo di emergenza.

Riguardo alle app regionali, il Garante ha chiarito che le persone non possono essere obbligate ad installarle e che la mancata installazione non può comportare alcuna conseguenza pregiudizievole per gli interessati o condizionare l’accesso ad aree o territori.

Con specifico riferimento all’app nazionale di contact tracing (app “Immuni”), già autorizzata dal Garante, l’Autorità ha ribadito che la sua installazione è su base volontaria e che dalla mancata installazione non può derivare alcuna conseguenza pregiudizievole (come, ad esempio, limitazioni nella fruizione di beni o servizi).

Le strutture sanitarie che intendono avvalersi di strumenti di telemedicina (app di telediagnosi, teleconsulto, teleassistenza e telemonitoraggio utilizzate dal personale medico) per effettuare diagnosi o terapie a distanza, non devono richiedere uno specifico consenso al trattamento dei dati personali dell’interessato.

Per l’utilizzo di app diverse da quelle di telemedicina (quali, ad esempio, app divulgative o app per la raccolta di informazioni sullo stato di salute della popolazione di un dato territorio), è necessario invece il consenso dell’interessato, il quale deve essere adeguatamente informato sull’uso che verrà fatto dei suoi dati.

L’Autorità ha inoltre sottolineato che le app devono trattare solamente i dati strettamente necessari a perseguire le finalità del trattamento, evitando di raccogliere dati eccedenti (ad esempio, quelli relativi all’ubicazione del dispositivo mobile dell’utente) e limitandosi a richiedere permessi per l’accesso a funzionalità o informazioni presenti nel dispositivo solo se indispensabili.

Amministrazioni pubbliche, Regioni, strutture sanitarie dovranno infine valutare i rischi che potrebbero derivare dall’eventuale trasferimento di dati a terze parti (ad esempio, mediante social login, notifiche push, ecc.), soprattutto se stabilite al di fuori dell’Unione Europea.

Roma, 13 luglio 2020

Fonte: Garante Privacy

Pubblicato il

Fatturazione elettronica: la precisazione del Garante privacy

Di fronte alle prese di posizione di rappresentanti politici e organizzazioni sindacali riguardo al recente parere adottato dal Garante per la privacy sulla fatturazione elettronica, l’Autorità ritiene doveroso precisare quanto segue.

Il parere del Garante non riguarda l’istituto della fattura elettronica – su cui l’Autorità si è, a suo tempo, e più di una volta espressa favorevolmente – ma le innovazioni con le quali il legislatore – e, conseguentemente, l’Agenzia delle entrate – ha esteso l’utilizzo, a fini di controllo, di ulteriori dati ricavati dalle fatture elettroniche, non fiscalmente rilevanti.

Con lo schema di provvedimento del Direttore dell’Agenzia delle Entrate si è infatti disposto, tra l’altro, l’utilizzo, a fini fiscali, dei c.d. “dati fattura integrati”, comprensivi di dati di dettaglio inerenti anche l’oggetto della prestazione del bene o del servizio. Molti di questi dati – quali ad esempio quelli contenuti negli allegati delle fatture – non rilevano a fini fiscali e possono invece rivelare dati di natura sanitaria o la sottoposizione dell’interessato a procedimenti penali, come nel caso di fatture per prestazioni in ambito forense o ancora specifiche informazioni su merci o servizi acquistati. La memorizzazione, a prescindere dall’eventuale utilizzo, delle fatture nella loro integralità comporta dunque l’acquisizione massiva di una mole rilevantissima dei dati contenuti nei circa 2 miliardi di fatture emesse annualmente, inerenti tra l’altro i rapporti fra cedente, cessionario ed eventuali terzi, fidelizzazioni, abitudini e tipologie di consumo, regolarità dei pagamenti, appartenenza dell’utente a particolari categorie.

Tale estensione del novero dei dati trattati dall’amministrazione fiscale contrasta con il principio di proporzionalità su ci si basano l’ordinamento interno ed  europeo, ingolfa le banche dati dell’Agenzia delle Entrate rendendole più vulnerabili, perché estese e interconnesse in misura tale da divenire assai più difficilmente presidiabili, e configura un sistema di controllo irragionevolmente pervasivo della vita privata di tutti i contribuenti, senza peraltro migliorare il doveroso contrasto dell’evasione fiscale.

E’ questo l’elemento di maggiore criticità delle recenti innovazioni normative, su cui il Garante ha chiesto un supplemento di riflessione sin dall’esame parlamentare del decreto fiscale: non è ammissibile, perché sproporzionata, l’estensione a dati rilevantissimi per la vita privata dei contribuenti, ma fiscalmente irrilevanti e, come tali, incapaci di apportare alcun minimo miglioramento all’azione di contrasto dell’evasione. Essa va resa più efficiente, non più orwelliana. per garantire quell’equità fiscale promessa dalla Costituzione.

Roma, 13 luglio 2020

Fonte: Garante Privacy

Pubblicato il

Il tifo contro immuni non ha senso – Intervista ad Antonello Soro

Di Salvo Ingargiola, Fortune Italia, 2 luglio 2020

Il soggetto che risulta positivo al Covid-19 fornisce, volontariamente, l’identificativo Imei del proprio dispositivo cellulare all’Asl di competenza che poi è tenuta a trasmetterla al server centrale per consentirgli di ricostruire, tramite un calcolo algoritmico, la rete di contatti. Da qui parte il ‘viaggio’ dei dati sensibili dell’app Immuni, voluta dal Governo per fronteggiare l’emergenza Covid, e autorizzata dal Garante per la protezione dei dati personali. “Le informazioni – chiarisce il Garante, Antonello Soro – non finiscono mai nelle mani di soggetti terzi che non hanno titolo ad acquisirli come Google, Apple o Bending Spoons”, la società che ha materialmente ideato e progetto la App, 150 dipendenti, 90 mln di dollari di vendite nel 2019, detenuta per il 2% dal fondo cinese Nuo Capital.

“Le scelte del Governo italiano, che noi abbiamo condiviso essendosi conformate alle indicazioni da noi rese prima e dopo l’emanazione della norma di riferimento (art. 6 Dl n. 28/2020), sono state anche un punto di riferimento nelle valutazioni fatte dal Board dei garanti europei”, spiega Soro, presidente dell’Autorità che si occupa di proteggere la privacy dei cittadini italiani dal 2012. Sono tante e variegate le nuove sfide legate a questo tema, in un contesto come quello attuale, con nuove opportunità e rischi che arrivano dalla Rete.

Secondo il Garante Soro “sì è vero, lo strumento tecnologico è importante ma è solo il pezzo di una strategia nella quale è fondamentale tutto ciò che avviene a valle. Nel momento in cui si riesce ad avere la collaborazione del cittadino che contribuisce a ricostruire la rete epidemiologica (secondo gli esperti, per essere efficace, l’app deve essere scaricata da almeno il 60% degli italiani), il Sistema sanitario deve essere velocissimo nell’effèttuare i test diagnostici“.

Già, è anche una questione di tempo. Se è vero, infatti, che l’app Immuni, essendo un sistema decentralizzato, consente di detenere i dati dell’utente nel suo dispositivo in una prima fase, è altrettanto vero che, nel momento in cui si riscontra un caso positivo, come si diceva all’inizio, le stesse informazioni sensibili iniziano a ‘muoversi’. E da questo momento in poi che, in modo particolare, si accendono i riflettori su tempi e modalità. Il principio da seguire – come ha spiegato la stessa Autorità Garante nell’audizione informale, in videoconferenza, lo scorso 8 aprile, in commissione Trasporti alla Camera dei deputati – è garantire “il minor ricorso possibile a dati identificativi, sia in fase di raccolta sia di conservazione'”. In altre parole, la soluzione del ‘diario dei contatti’ registrato nel cellulare dell’utente è stata considerata preferibile proprio perché così si è deciso di evitare la conservazione in banche dati di gestori, con tutte le criticità messe in evidenza dalla giurisprudenza della Corte di giustizia europea in tema di data retention.

“Gli Stati e i governi europei – ammette Soro – hanno sensibilità differenti. Alcuni Paesi hanno adottato soluzioni simili alla nostra, altri invece no”. Il traguardo di un software europeo che definisse criteri omogenei e comuni a tutti i Paesi europei non è stato raggiunto. Sfumato questo obiettivo, come è stato sottolineato qualche settimana fa dal Comitato Ue per la protezione dei dati personali (Edpb), la condivisione dei data tramite le app, di persone a cui è stato diagnostico il Covid-19, deve essere attivata solo su base volontaria. E, passaggio ancor più importante e delicato, secondo l’European Data Protection Board l’obiettivo dell’interoperabilità di tali strumenti adottati nei diversi Paesi europei non dovrebbe essere perseguito, proprio per evitare di estendere la raccolta di dati personali oltre ciò che è necessario. “La persona che risulta positiva al tampone – chiarisce il garante Soro – oltre ad adottare tutte le misure già previste dalle normative vigenti, potrà offrire ma solo volontariamente la catena dei propri contatti. È un’informazione che, però, diventa importante se molti utilizzano l’applicativo”.

Sotto questo aspetto, il giudizio del Garante è chiaro: “C’è una norma esplicita, prevista dalla disciplina generale: chi dovesse raccogliere i dati personali, non avendone titolo, compie un illecito trattamento degli stessi. Una pratica che può essere sanzionata sia a livello amministrativo sia penale”. Ecco perché secondo Soro non ha senso ‘tifare’ contro l’app Immuni che, secondo lui, ha garanzie sufficienti in materia di privacy. “Non capisco, anche dopo l’accoglimento di tutte le indicazioni del Garante (tra cui avere espresso come preferibile la tecnologia bluetooth che consente la ricostruzione a ritroso dei contatti, scartando al contrario l’opzione della geolocalizzazione, ndr) l’insistenza con cui molti, ancora, nonostante tutto, sollevano dubbi e scoraggiano i cittadini. È un atteggiamento che, di certo, non contribuisce a creare quel clima di fiducia che è fondamentale per rendere efficace lo strumento”.

Tutte le precauzioni sembrano essere state prese. E anche se il Comitato europeo per la protezione dei dati, in un documento contenente le linee guida sulle app di tracciamento, pubblicato ad aprile, dice con chiarezza che “tali strumenti possono comportare un rischio elevato per i diritti e le libertà delle persone”, in Italia, secondo Soro, “l’App Immuni contiene garanzie sufficienti dal punto di vista della protezione del dato. Il rischio – taglia corto – è inferiore rispetto a quello generale che si corre tutte le volte che tali informazioni vengono trattate nella dimensione digitale”. In altre parole, l’app Immuni è stata promossa anche se, è vero, come ammette lo stesso Garante Soro, “dobbiamo mettere in conto sempre la possibilità remota che ci sia un hacker che, nonostante un sistema di sicurezza molto forte e solido come quello gestito da Sogei, tra i più affidabili e presidiato anche dal punto di vista militare, abbia la capacità di ‘bucare’ i! server. Tutto può capitare: anche il Pentagono ha subito un accesso abusivo”.

Fonte: Garante Privacy

Pubblicato il

Audizione del Presidente del Garante per la protezione dei dati personali, Antonello Soro. Seguito dell’indagine conoscitiva sulle forme di violenza fra i minori e ai danni di bambini e adolescenti

8 luglio 2020

Ringrazio la Commissione per questo confronto su di un tema tra i più espressivi delle contraddizioni del nostro tempo.

Il contesto in cui gli abusi in danno di minori maturano e si amplificano – in una sorta di ostensione compiaciuta della violenza- è sempre più spesso la rete, che nella vita dei ragazzi ha un’incidenza determinante.

Per i nativi digitali soprattutto, infatti, essa rappresenta non uno dei tanti, possibili, mezzi di comunicazione ma piuttosto la dimensione, addirittura principale, della vita.

E le relazioni intessute on-line, la condivisione sui social di ogni più intimo frammento di vita, la percezione del mondo sempre più mediata dalla rete impongono nuove esigenze di tutela, a fronte dell’inadeguatezza delle categorie tradizionali del diritto a normare fenomeni in continua evoluzione, come le tecnologie che li plasmano.

Il cyberbullismo, le vessazioni esibite da ragazzi in danno di coetanei, il revenge porn, ma anche il più rigido conformismo e l’emarginazione di chiunque pensi o agisca diversamente dalla maggioranza, sono solo alcune delle implicazioni dell’uso distorsivo della rete: ancor più drammatiche perché coinvolgono minori.

Da veicolo di straordinarie opportunità di crescita ed emancipazione, il web rischia infatti, se vissuto in assenza della necessaria consapevolezza, di esporre a   pericoli sottostimati   ragazzi sempre più fragili, nello iato tra illusione di autonomia e introiezione di regole, esperienza della libertà ed esercizio di responsabilità.

Anche perché la rete è lo spazio dove oggi lasciamo più soli i minori: proprio coloro che nelle strade delle nostre città accompagniamo, con apprensione, passo passo, già molto prima hanno “navigato”, tanto “autonomi” quanto vulnerabili.

E la solitudine che concediamo ai nostri figli sul web non è la stessa cui consegnavamo i bambini di fronte alla tv: lì bastava selezionare i programmi; in rete non ci sono filtri adeguati e, soprattutto, esiste una continua interazione da cui i bambini andrebbero protetti.

Secondo una ricerca della Società Italiana di Pediatria Preventiva e Sociale (Sipps) presentata in occasione del Safer internet day, l’80% del campione dichiara di aver ricevuto dai genitori limitazioni solo in ordine al tempo di utilizzo dei dispositivi telematici, al carattere chiuso dei profili social, al divieto di accesso a siti porno, ma non regole di condotta più puntuali.

La ricerca riferisce, poi, che oltre il 50% dei ragazzi tra gli 11 e 17 anni avrebbe subito episodi di bullismo e tra chi utilizza quotidianamente il cellulare (85,8%), ben il 22,2% sarebbe stato vittima di cyberbullismo, oltre che di “trolling” da parte di coetanei, percepite come particolarmente umilianti.

La rete è, infatti, anche il luogo in cui, nell’illusione dell’anonimato, minori violano altri minori.

Dalla violenza carnale – agìta off-line e poi esibita on-line– all’hate speech; dalla “servitù volontaria” cui si espone la ragazza che si vende in rete, al cyberbullismo.

Proprio questo è, forse, l’aspetto più tragico dell’uso violento della rete: in cui cioè l’autore e la vittima partecipano della stessa fragilità e della stessa inconsapevolezza del “risvolto” reale e concretissimo di ogni nostra azione nel digitale.

Ed è l’espressione forse più paradigmatica dell’ambivalenza del digitale e dei suoi pericolosi fraintendimenti.

Il “bullo” si illude, infatti, di potersi celare dietro l’anonimato o comunque sottovaluta la portata di quello che fa, non avendo la percezione di come un click possa portare con sé la distruzione di una vita.

Pubblicare un insulto anche gravissimo in rete, o la ripresa di un’indegna violenza su un bambino malato è molto più facile: perché non si deve fare i conti con l’idea della “sanzione sociale” -prima ancora che giuridica-, con lo stigma cui invece esporrebbe quella condotta se commessa off-line, sotto gli occhi di tutti.

Non ci vuole audacia, sia pure la più bieca: il “passaggio all’azione” è molto più facile.

Purtroppo però le conseguenze sono ancora più devastanti, perché quella violenza resta lì tendenzialmente per sempre, alla portata di chiunque a qualsiasi latitudine: non ha fine, non dà mai tregua alla sua vittima perché è onnipresente.

Su questo alcune importanti tutele sono state introdotte con la legge sul cyberbullismo, che nella consapevolezza della complessità di questo fenomeno, non riducibile a pura questione penale, ha scelto di combinare prevenzione, responsabilizzazione (tanto dei minori quanto dei gestori dei social), tutela della vittima.

La principale misura riparativa consiste nella particolare procedura d’urgenza per la rimozione dei contenuti lesivi, con una prima istanza rivolta al gestore e, quindi, sottoposta al Garante in caso di inerzia, rigetto o impossibilità di identificazione del titolare.

E’ una tutela remediale innovativa ed efficace che, da un lato, evita ogni forma di ingerenza da parte del gestore nelle comunicazioni degli utenti, dall’altro lo responsabilizza nel caso in cui gli sia segnalata la presenza di contenuti illeciti in rete, come dimostra del resto l’adesione spontanea e in tempi celeri della maggior parte delle piattaforme.

E’ peraltro prossimo all’adozione il codice di coregolamentazione previsto dalla legge e alla cui redazione l’Autorità ha fornito un contributo rilevante.

Esso promuoverà un’ulteriore responsabilizzazione dei gestori dei social network e degli altri operatori internet, vincolandoli ai fini dell’adesione al rispetto di un livello significativo di garanzie e sensibilizzandoli rispetto all’esigenza di rimuovere contenuti illeciti presenti sulle loro piattaforme.

La tutela accordata dal Garante funge, poi, da garanzia di ultima istanza e anello di chiusura dell’intero sistema, in ragione del carattere particolarmente agile del procedimento, attivabile anche dallo stesso minore ultraquattordicenne senza particolari formalità, così da coniugare esigenze di celere definizione della controversia e doveroso rispetto del contraddittorio

Anche la procedura di ammonimento, modulata su quella dello stalking, è uno strumento particolarmente utile per spezzare la spirale di odio che alimenta questo fenomeno.

Rilevanti sono anche le misure previste dalla legge per l’educazione all’uso consapevole della rete, che se ben attuate potrebbero davvero agire sulle cause profonde, culturali e sociali del cyberbullismo.

Prime tra tutti la solitudine e l’immaturità digitale di ragazzi sempre più abbandonati senza strumenti davanti a uno schermo, inconsapevoli di come il post non sia la scritta sul banco: può restare in rete anche per sempre, visibile e “replicabile” da chiunque, con una potenzialità lesiva di cui i ragazzi devono avere coscienza.

Una reale educazione, etica e civica, al digitale è lo strumento indispensabile per consentire ai ragazzi di trarre dalla rete tutte le sue straordinarie risorse per essere consapevoli cittadini digitali, come sottolineano le Linee guida del Consiglio d’Europa sui diritti dei minori nell’ambiente digitale.

La dimensione immateriale è, infatti, quantomai reale e dietro ogni “profilo” c’è una persona in carne e ossa, con le sue fragilità e il suo diritto a non essere violata.

E’ questa la prima e più importante frontiera su cui tutti dobbiamo investire, con un’alleanza educativa che serva anche a noi adulti per riflettere sulla evoluzione virale del rancore che un certo uso della rete rischia di produrre.

Significativo, in tal senso, che il ddl S1690 – oltre ad estendere la disciplina del bullismo “on-line” a quello “off-line” – proponga l’introduzione di moduli formativi per l’educazione all’intelligenza emotiva, nonché ulteriori misure per la tutela della vittima e la rieducazione degli autori, proponendo percorsi personalizzati di assistenza per le prime e di accompagnamento rieducativo per i secondi, comprensivi eventualmente anche di interventi di mediazione.

Particolare attenzione dovrà essere prestata – in caso di approvazione del ddl – alla realizzazione sia dell’app offerta dal servizio emergenza infanzia 114 per l’assistenza delle vittime, sia alle piattaforme di formazione e monitoraggio del fenomeno, messe a disposizione delle scuole dal Ministero dell’istruzione.

Dal momento che entrambi questi sistemi coinvolgerebbero un flusso di dati delicatissimi, inerenti minori anche vittime di reato, è necessario delinearne l’architettura in modo da garantire la massima riservatezza delle informazioni trattate, per evitarne esfiltrazioni o accessi indebiti, suscettibili di determinare fenomeni di vittimizzazione secondaria da non sottovalutare.

Tutele importanti sono state del resto introdotte rispetto al fenomeno, non meno preoccupante, dell’abuso sessuale su minori e della mercificazione del corpo, spesso realizzato on line.

Si pensi al delitto di adescamento di minori (grooming), con la tipizzazione del contatto telematico quale modalità di realizzazione della condotta o del revenge porn: fenomeno in preoccupante ascesa.

Altrettanto importante è la previsione dell’aggravante relativa ai delitti di sfruttamento sessuale del minore, compiuti con l’uso  di  mezzi  atti  ad  impedire l’identificazione dei dati di accesso alle reti telematiche.

Tale norma intende contrastare la tendenza dei soggetti abusanti a occultare le tracce dei propri contatti illeciti: ciò che spiega il proliferare dell’adescamento in rete.

Tuttavia, anche ove non si ricorra a tali espedienti l’identificazione dell’autore effettivo dell’illecito (indispensabile ai fini dell’imputazione della relativa responsabilità, soprattutto se penale) non è sempre agevole, dovendo superarsi – talora con notevole difficoltà- lo schermo dell’anonimato in rete.

Istituto che va certamente salvaguardato in quanto funzionale, tra l’altro, alla libertà di espressione, ma di cui va impedito ogni abuso, soprattutto se si traduce in un’agevolazione alla commissione di reati in danno dei soggetti più fragili.

Si dovrebbe allora, forse, riflettere sulla regolazione dell’uso dell’anonimato sul web, rendendolo realmente reversibile così da consentire da parte degli organi inquirenti l’accertamento delle effettive responsabilità degli illeciti realizzati sotto questo schermo.

Di contro, indispensabile è il diritto, penalmente protetto, all’anonimato delle vittime di delitti contro la libertà sessuale e la personalità individuale, sulla cui violazione, anche da parte dei media, siamo intervenuti diverse volte, per contenere gli effetti della vittimizzazione secondaria suscettibile di derivarne.

L’efficacia di tali strumenti repressivi è, tuttavia, condizionata dalla velocità dell’evoluzione tecnologica, capace spesso di eludere i divieti legislativi e dai limiti imposti alla giurisdizione e alla stessa applicazione della legge dal principio di territorialità, trattandosi spesso di reati commessi all’estero e veicolati on-line.

Ma soprattutto, la tutela penale rispetto ai minorenni incontra i limiti (irrinunciabili e doverosi, sia chiaro) dell’inimputabilità (assoluta o relativa che sia), dei principi di minima offensività, destigmatizzazione, residualità della sanzione (in particolare se detentiva).

Ecco, quindi, che rispetto a tali ipotesi il combinato disposto di un’efficace tutela riparativa e di una tutela risarcitoria dal regime particolarmente favorevole alla vittima, ma anche fortemente deterrente, assume un rilievo determinante.

La disciplina di protezione dati fornisce, in questo senso, strumenti importanti.

Il diritto – esercitabile dinanzi al Garante o all’autorità giudiziaria, in caso di inerzia del gestore – di richiedere tra l’altro la cancellazione dei contenuti illecitamente diffusi rappresenta una misura particolarmente efficace.

Perché idonea a limitare il prima possibile la propagazione degli effetti pregiudizievoli di revenge porn, hate speech, diffamazione, ecc..

Ciò che tuttavia può svolgere, più di ogni altra misura o sanzione, una reale efficacia preventiva è un’adeguata educazione digitale, che colmi lo iato esistente tra l’utilizzo del web, da parte dei ragazzi, quale principale agenzia di socializzazione e la loro effettiva consapevolezza del modo in cui farne uso per promuovere, anziché violare, le libertà.

In tal senso è indispensabile investire sull’alfabetizzazione digitale quale vera e propria “educazione civica” al tempo della cittadinanza digitale.

E’ significativo che il  Regolamento individui nella fascia compresa tra i 13 e i 16 anni la soglia di età per il consenso digitale, con una parallela modulazione del principio di trasparenza del trattamento e una significativa  responsabilizzazione dei titolari. Essi, infatti, dovranno adeguare a un pubblico più giovane le informative fornite, per renderne realmente comprensibile la portata e consentire così anche ai minori di esercitare consapevolmente la propria autonomia decisionale.

La soglia del consenso digitale è stata fissata dal legislatore nazionale nei 14 anni, in analogia con la legge sul cyberbullismo, ma anche con altre disposizioni che a quell’età riconoscono una parziale capacità di agire (corrispondente a una presunzione di adeguata capacità di discernimento), disponendo di diritti “personalissimi” e come tali insuscettibili di rappresentanza.

Se tale scelta coglie un dato di realtà – perché i ragazzi, a quell’età se non prima, vivono nella dimensione digitale gran parte delle loro relazioni – essa presuppone anche, tuttavia, un’adeguata formazione per rendere il minore consapevole di cosa possa comportare il trattamento dei propri dati.

Altrimenti quel diritto all’autodeterminazione informativa che si consente ai ragazzi di esercitare in proprio, rischia di essere velleitario o, peggio, di risolversi in un pregiudizio per la loro stessa libertà, sicurezza, identità.

L’orientamento giurisprudenziale prevalente, volto a richiedere l’assenso di entrambi i genitori per la diffusione di foto di minori, ritenuto atto esulante dall’ordinaria amministrazione, in ragione dei rischi che comporta, è in questo senso significativo.

E riconoscere al minore ultra14enne la facoltà di dire “la propria” in ordine alla gestione dei propri dati, anche rispetto all’uso che ne facciano i genitori, può rappresentare un importante fattore di responsabilizzazione.

Sarebbe  poi necessario rafforzare l’adozione, da parte dei fornitori, anche in sede di codici di condotta, di precauzioni utili a proteggere i minori (ad es. servizi di navigazione differenziata, accessi selettivi che inibiscono la consultazione di determinati contenuti classificati come inadatti ai minori1,..), purché naturalmente non presuppongano il controllo preventivo dei contenuti.

Naturalmente, non è lo strumento in quanto tale a dover essere condannato: la rete è teatro tanto di violenze e vessazioni, quanto di solidarietà e promozione della libertà.

Si pensi a Keaton, il piccolo paziente oncologico americano, umiliato off-line e protetto on-line.

La stessa rete che ha indotto più di un minore al suicidio, in quel caso ha salvato invece un bambino dalle vessazioni subite off-line.

La “neutralità” del web – intesa come suscettibilità ad usi lesivi o invece solidaristici- carica, dunque, gli utenti della responsabilità per la propria condotta on-line e fa carico agli adulti del delicato compito di rendere i minori consapevoli di quanto straordinaria, ma anche rischiosa, possa essere questa nuova – e mai abbastanza “esplorata”- dimensione della vita.

 

(1) Sulla falsariga delle misure inibitorie dell’accesso dall’Italia a siti pedopornografici compresi nella blacklist stilata dalla polizia postale.

Fonte: Garante Privacy

Pubblicato il

Due anni di Gdpr: il rapporto della Commissione europea

26 Giugno 2020

A poco più di due anni dalla sua piena applicazione, la Commissione europea ha pubblicato un rapporto di valutazione sul Regolamento europeo in materia di protezione dei dati personali (Gdpr). Il rapporto mostra come il Gdpr abbia raggiunto la maggior parte dei suoi obiettivi, in particolare garantendo ai cittadini Ue un solido insieme di diritti e creando un nuovo sistema europeo di governance. Il Gdpr si è peraltro dimostrato flessibile nel supportare soluzioni digitali in circostanze impreviste come la crisi dovuta al Covid-19.

Il documento della Commissione evidenzia, inoltre, che l’armonizzazione delle legislazioni nazionali è aumentata grazie al Gdpr, sebbene permanga una certa frammentazione in alcuni ambiti (per esempio, in materia di bilanciamento fra libertà di espressione e protezione dati, o in materia sanitaria) che necessita di un monitoraggio costante. Anche fra le aziende si fa strada la cultura della “responsabilizzazione” e l’idea che le misure a protezione dei dati personali possano costituire un vantaggio competitivo.

La relazione propone anche un elenco di azioni che coinvolgono i diversi stakeholder (Commissione, Stati membri, Autorità di protezione dati, soggetti pubblici e privati) per facilitare ulteriormente l’applicazione del Gdpr con particolare riguardo alle piccole e medie imprese. Gli obiettivi finali indicati dalla Commissione sono quelli di ridurre la frammentazione normativa (gli Stati membri sono invitati a fare la loro parte al riguardo, e la Commissione intende vigilare con attenzione su questi aspetti), nonché di promuovere e sviluppare ulteriormente una cultura europea della protezione dei dati e l’applicazione rigorosa delle norme. Tutto ciò richiede il supporto interpretativo, e non solo, delle Autorità di protezione dati, ma anche una maggiore e più incisiva cooperazione fra le Autorità, che sono invitate a fare pienamente uso degli strumenti messi a loro disposizione dal Regolamento.

Questi, in sintesi, alcuni aspetti di particolare interesse emersi dal riesame del Regolamento Ue.

Secondo la Commissione, il Regolamento migliora la trasparenza e aumenta la consapevolezza dei diritti di cui godono le persone nell’Ue (diritto di accesso, rettifica, cancellazione, diritto di opposizione e diritto alla portabilità dei dati).  Le regole sulla protezione dei dati si sono dimostrate adeguate all’era digitale: il Gdpr ha promosso la partecipazione attiva e consapevole delle persone alla transizione digitale e favorisce un’innovazione affidabile: in particolare attraverso un approccio basato sul rischio e su principi come la protezione dei dati in base alla progettazione e per impostazione predefinita (privacy by design e privacy by default). Le Autorità per la protezione dei dati stanno utilizzando i più forti poteri correttivi previsti dal Gdpr, dagli avvertimenti e dagli ammonimenti fino alle sanzioni pecuniarie. Tuttavia, sottolinea la Commissione, esse devono essere adeguatamente supportate con le risorse umane, tecniche e finanziarie necessarie. Se è vero che, complessivamente, tra il 2016 e il 2019 si è registrato un aumento del 42% del personale e del 49% del bilancio per tutte le Autorità nazionali per la privacy nell’Ue, permangono forti differenze tra gli Stati membri.

Vi sono, rileva la Commissione, margini di miglioramento per quanto riguarda il sistema di governance europea della protezione dei dati, in particolare rispetto al funzionamento del cosiddetto meccanismo di “sportello unico”, in base al quale una società che svolge trattamenti transfrontalieri di dati ha una sola Autorità di protezione dei dati come interlocutore, vale a dire l’Autorità dello Stato membro in cui ha sede il suo stabilimento principale. Tra il 25 maggio 2018 e il 31 dicembre 2019, 141 progetti di decisione relativi a reclami transfrontalieri sono stati presentati tramite lo “sportello unico”, 79 dei quali hanno portato a decisioni definitive. Su questi temi di governance sta lavorando anche l’Edpb (il Comitato europeo per la protezione dei dati formato da rappresentanti di tutti i Garanti europei) attraverso l’elaborazione di specifiche linee-guida che affrontano anche l’interpretazione e l’attuazione di aspetti chiave del Regolamento e temi emergenti.

Relativamente alla dimensione internazionale, la Commissione intende lavorare con l’Edpb alla modernizzazione di alcuni meccanismi in atto per i trasferimenti di dati personali al di fuori dell’Ue tra cui le clausole contrattuali standard, che risultano essere lo strumento più utilizzato dalle aziende ai fini di tali trasferimenti, anche alla luce degli sviluppi della giurisprudenza della Corte di giustizia. La Commissione evidenzia, infine, la necessità di proseguire nei negoziati internazionali per valutare l’adeguatezza alle norme europee dei Paesi extra-Ue e di esplorare l’impiego di strumenti quali accordi internazionali di mutua assistenza per rendere più efficace l’applicazione del Regolamento in questi ambiti.

Fonte: Garante Privacy

Pubblicato il

Covid-19 e protezione dal contagio degli ufficiali giudiziari

26 Giugno 2020

La trasmissione degli elenchi dei positivi ai Tribunali non consente un’efficace tutela del personale ed è sproporzionata

Per assicurare il contenimento del contagio da Covid-19 e la protezione degli ufficiali giudiziari i Tribunali non sono tenuti a conoscere lo stato di salute dei soggetti cui notificare atti giudiziari, ma, come previsto dalle norme adottate dal Governo, devono predisporre adeguati dispositivi di protezione individuale.

E’ quanto ha precisato l’Ufficio del Garante per la protezione dei dati personali in una nota indirizzata al Ministero della Giustizia con cui ha fornito il suo parere in merito alla questione sollevata  da un’ azienda sanitaria di Verona, alla quale l’UNEP (Ufficio Notifiche Esecuzioni e Protesti) del Tribunale della stessa città aveva chiesto di poter avere quotidianamente gli elenchi aggiornati delle persone positive o sospette positive al Covid-19, dei soggetti in quarantena e dei loro conviventi, nonché a loro dislocazione.

Il Garante ha ritenuto che la disponibilità dei predetti elenchi delle Aziende sanitarie non risulta necessaria né all’esercizio delle funzioni attribuite all’UNEP, né alla protezione dal contagio del personale addetto alle notifiche.

Nel fornire la sua risposta, l’Autorità ha tenuto conto del fatto che, in assenza di una mappatura dell’intera popolazione in merito al contagio Covid-19, l’eventuale stato di positività dei destinatari degli atti potrebbe sussistere, seppure non ancora accertato.

Di conseguenza, in linea con le raccomandazioni dell’Istituto Superiore di Sanità, i Tribunali devono adottare le misure di protezione individuale, disposte dal Governo per i lavoratori a contatto con il pubblico, nei confronti di tutti gli operatori UNEP a prescindere dal fatto che essi accedono a locali ove è domiciliata una persona accertata Covid-19.

Occorre inoltre considerare, che anche ove tali elenchi fossero acquisiti spetterebbe ai tribunali una difficile opera di aggiornamento, tenuto conto che gli stessi sono in continua evoluzione sulla base dei risultati dei tamponi.

L’Ufficio del Garante si è comunque reso disponibile a interloquire con il Ministero della giustizia per trovare una soluzione che consenta lo svolgimento dei compiti degli UNEP assicurando, al contempo, la protezione dal contagio del personale impiegato e la riservatezza dei soggetti posti in isolamento domiciliare per Covid-19.

Fonte: Garante Privacy

Pubblicato il

Soro: “Non sappiamo cosa fa la Cina con i dati di chi ha fra 10 e 15 anni”

Soro: “Non sappiamo cosa fa la Cina con i dati di chi ha fra 10 e 15 anni”
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(Di Jaime D’alessandro, La Repubblica, 5 giugno 2020)

“Sono tre anni che io sostengo: abbiamo un problema con la Cina. Nell’economia digitale l’asimmetria è semplicemente spaventosa”. Antonello Soro, garante italiano per la Privacy, parte dal bicchiere mezzo vuoto. La decisione del Comitato europeo perla Protezione dei Dati (Edpb) di dargli ascolto e istituire una commissione che indaghi sul social network cinese TikTok sembra un passo troppo timido. Con 800 milioni di utenti attivi, è il primo grande social network nato a Pechino a riuscire a fare breccia in Occidente. Il problema? Che non abbiamo idea di cosa accada ai dati raccolti. “TikTok ha avuto uno sviluppo molto veloce”, continua Soro. “Sono centinaia di milioni gli europei che la usano. Un pubblico prevalentemente di minori. Il mercato particolare dei giovanissimi li espone al pericolo di messaggi e contenuti poco adatti se non del tutto vietati. Ma essendo una azienda cinese abbiamo armi spuntate a disposizione”.

Cosa farà ora la task-force europea?

“Inizierà dalla raccolta di informazioni che, a mio parere, non potrà essere disgiunta da azioni per sanare l’asimmetria della quale dparlavo prima”.

Ci vorranno mesi. Non le sembra che le istituzioni siano un po’ lente?

“Forse. Le autorità europee che lavorano sul tema dei dati sono piccole e con compiti immani. Non è maturata la percezione di quanto il mondo digitale produca ricchezza e colossi che sono ormai più potenti degli Stati. E non è chiaro a tutti che le regole in quel frangente sono essenziali per far funzionare la società di oggi”.

In attesa che si arrivi ad un’azione concreta, se nel frattempo un adolescente venisse spinto a fare qualcosa di sgradevole?

“Si potrebbe intervenire, almeno qui da noi, se si trattasse di un cittadino europeo. L’approccio di TikTok è collaborativo”.

Ci sono stati casi del genere?

“Ci sono state segnalazioni come avviene per altri social network, nulla di più. Ma non abbiamo idea di cosa succede dietro le quinte. Con tutte quelle informazioni sui comportamenti di chi ha fra i 10 ai 15 anni si possono fare mille cose in un Paese come la Cina che non ha certo le nostre restrizioni. Si possono ad esempio creare algoritmi, profilare gli utenti, sapere esattamente cosa fanno. Li si può influenzare. Parliamo in più di una nazione che ha già un mercato intemo enorme dove si raccolgono informazioni su tutto e su tutti e le sue aziende sono permeabili al Governo. Un vantaggio strategico nell’economia digitale. Il mercato è lo stesso, ma si gioca con regole differenti”.

Il nuovo amministratore delegato di TikTok, Kevin Mayer, è americano.

“Ma l’azienda è di proprietà cinese. Non sarebbe un problema se avessimo con Pechino il medesimo accordo, il Privacy shield, che abbiamo con Stati Uniti, Canada, Giappone e Australia fra gli altri. Impegna le aziende estere a rispettare certe regole quando si tratta di utenti europei. Con il Giappone è stato bloccato l’Ape, la più grande zona di libero scambio del mondo, finché non è stato sottoscritto il Privacy shield. Ma sarà difficile imporlo alla Cina”.

Perché?

“Uno dei punti cardine è che l’accesso delle agenzie governative ai dati sia fortemente limitato. È un tema molto più grande di TikTok. Bisogna evitare che la Cina sia una zona franca”.

Insomma, il bicchiere è ancora mezzo vuoto.

“Diciamo che la task-force è un primo passo. E da qualche parte bisognava pur iniziare”.

Fonte: Garante Privacy

Pubblicato il

Data breach: Il garante sanziona un istituto bancario

26 Giugno 2020

Data breach, sanzionato dal Garante un istituto bancario

Il Garante per la privacy ha ordinato ad un istituto bancario il pagamento di una sanzione di 600 mila euro al termine di una complessa istruttoria riguardante un data breach causato da accessi abusivi ai dati personali di oltre 700 mila clienti, tra aprile 2016 e luglio 2017. Era stata la banca stessa, a fine luglio 2017, a comunicare all’Autorità, la violazione subita.

Gli accessi abusivi, avvenuti in due momenti distinti, erano stati effettuati utilizzando le utenze di alcuni dipendenti di un partner commerciale esterno alla banca ed avevano riguardato una molteplicità di informazioni (dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban).

L’attuale sanzione, determinata applicando la disciplina precedente l’entrata in vigore del Gdpr, segue la contestazione di violazioni amministrative notificata alla banca nel maggio 2019, originata a sua volta da un provvedimento adottato dall’Autorità nel marzo 2019 con il quale il Garante aveva accertato la violazione, da parte dell’istituto bancario, delle misure minime di sicurezza previste dal Codice privacy e il mancato rispetto delle regole fissate dalla stessa Autorità nel provvedimento n. 192 del 12 maggio 2011 in materia di tracciamento delle operazioni bancarie.

Il Garante quindi, considerati i rilevanti profili di illiceità del trattamento determinati dalla mancata adozione di misure tecniche e organizzative adeguate e valutate le argomentazioni addotte dalla banca, ha ritenuto necessario l’applicazione della sanzione al fine di salvaguardare i diritti e le libertà delle persone coinvolte, a prescindere dalla notificazione della violazione di dati personali effettuata dalla banca. Nel determinare l’ammontare dell’importo in 600mila euro, l’Autorità ha tenuto conto di diversi elementi, tra i quali il fatto che le violazioni sono state commesse nei confronti di un rilevante numero di persone e che la banca – che non ha subito precedenti provvedimenti sanzionatori del Garante – a seguito del data breach ha adottato diverse misure e iniziative volte a rafforzare la sicurezza dei propri sistemi informatici.

Fonte: Garante Privacy