Archivio dei tag compliance

DiGiampaolo Cirioni

“Aumentano attacchi informatici e furti di identità. Che sta succedendo?” – Intervista ad Antonello Soro, Presidente del Garante

Criminali che rubano le credenziali di Facebook, Google che ci legge le email. Il parere del Garante italiano per la privacy, Antonello Soro
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Arturo Di Corinto “AGI”, 13 ottobre 2018)

Prima il furto dei token di Facebook, poi il baco di Google plus e l’annuncio della sua chiusura, infine le denunce di Clusit sull’aumento del furto di credenziali usate per attacchi informatici. Non dovrebbe sorprendere che proprio ieri il Censis abbia certificato un calo di fiducia dei cittadini italiani nei confronti delle piattaforme social, dei motori di ricerca e dei servizi online. In aggiunta qualche giorno fa la vicepresidente di Google Susan Molinari ha ammesso che Google consente ad aziende terze di leggere le nostre email. Che sta succedendo? Ne abbiamo parlato con il Garante della privacy, l’onorevole Antonello Soro.

“Come lo scandalo Cambridge Analytica, anche il caso degli accessi ai contenuti degli account Gmail concessi indiscriminatamente a terze parti dimostra ancora una volta la natura di business company dei colossi della rete. Nell’odierno capitalismo estrattivo i dati di milioni di utenti vengono sfruttati come una miniera da sviluppatori, società di ricerche, aziende di marketing, società di servizi di ogni genere.”

E che cosa stanno facendo le Autorità europee per mettere un freno a questi comportamenti?

“Contro questi abusi, il nuovo Regolamento europeo rappresenta oggi un formidabile strumento per costringere gli Over The Top a gestire con maggiore trasparenza i dati personali dei loro utenti, a proteggerli con misure adeguate e a limitare in un perimetro chiaro gli usi che di questi dati essi possono fare. Prova ne sia il fatto che – proprio in base alle disposizioni del Regolamento – nel recente gravissimo caso di data breach che ha coinvolto 50 milioni di utenti, Facebook si sia affrettata a darne – come doveroso – immediata comunicazione al pubblico e alle autorità di protezione dati.”

Facebook ha scollegato 90 milioni di utenti della sua piattaforma dopo il furto dei loro token, le “tessere informatiche” che ci identificano e fanno accedere ai servizi online senza dover sempre immettere la password. Ci ha detto tutta la verità?

“Merito del Gdpr. Prima del Regolamento europeo la protezione dei dati era considerata – negli Usa, ove manca una disciplina sul modello europeo – recessiva rispetto alle esigenze del mercato. Si pensi all’illecito trattamento dei dati di Facebook svolto da Cambridge analytica: era la regola e non l’eccezione. Il Gdpr ci consente di intervenire anche rispetto a imprese situate fuori dall’Ue ma che offrano beni o servizi a cittadini dell’Unione. Tutti sanno che dovranno fare attenzione a una platea di 500 milioni di persone, gli europei, e che noi potremo essere incisivi facendo valere le nostre tutele”.

“Il Gdpr prevede che le imprese non europee che operano stabilmente in Europa designino il proprio stabilimento principale, da cui dipende per competenza l’individuazione di un’autorità leader a cui affidare l’interlocuzione per le attività di carattere transfrontaliero. Facebook ha scelto l’Irlanda e anche Google sta per farlo. La regola europea si sta facendo strada. Si pensi alla California che ha adottato il Privacy Act sul modello europeo. Lo stesso vale per Canada e Giappone che si sono ispirati all’Europa.”

Pare che i dati sottratti a Facebook siano già in vendita nel mercato nero del web. Un altro grosso danno all’immagine di Facebook.

“Se confermato sarebbe molto grave. C’è anche da dire che oggi il danno reputazionale è più importante delle sanzioni. La deterrenza esercitata da entrambe queste “sanzioni” (giuridica e sociale) nel tempo può portare a un miglioramento della qualità dei servizi. Le aziende coinvolte sanno che devono competere anche su questo aspetto con i concorrenti che vengono da altri paesi: la protezione dati diviene infatti una risorsa reputazionale importante.”

Anche Google non ha ancora ammesso la rilevanza del possibile databreach collegato alla vulnerabilità di Google+ per questioni reputazionali. Sarebbero coinvolti 500 mila profili. Ci sono state denunce presso i suoi uffici?

“Diverse associazioni hanno fatto denunce e molte segnalazioni a difesa dei consumatori. Ci siamo attivati e non da soli. Considerato il carattere transnazionale di queste aziende non ci muoveremo più come singola autorità ma concordemente con le altre autorità europee. Per questo abbiamo creato una piattaforma apposita per lo scambio di informazioni e la cooperazione avanzata”.

Susan Molinari, vicepresidente di Google per le politiche pubbliche ha ammesso in una lettera che Google ha smesso di leggere i contenuti della posta elettronica del suo servizio Gmail dal 2017, ma che consente a terze parti di leggerci la posta “fintanto che le terze parti informano gli utenti in maniera trasparente.”

“L’accesso ai contenuti della posta, qualunque sia la motivazione, è cosa gravissima. Ed è figlia di un periodo lunghissimo in cui l’economia digitale ha funzionato al di sopra della legge sia perché non c’erano regole, sia perché gli utenti non esercitavano pienamente i loro diritti, sia perché l’euforia del business era prevalente rispetto alle cautele da adottare”.

“Tuttavia l’altro ieri Google ci ha informato di tre cose attraverso i suoi responsabili: la prima è che hanno confermato il bug scoperto a marzo nel social network omonimo, Google plus, che verrà chiuso; la seconda è che stanno definendo nuove misure di protezione dei dati; la terza è che stanno operando una revisione radicale delle proprie policies, comprese le forme di accesso agli sviluppatori di terze parti”.

Ma quest’idea di rovesciare sugli utenti ogni responsabilità non è un gioco vecchio? Secondo uno studio Deloitte l’81% degli utenti non legge le clausole legali dei servizi informatici.

“Fondare sul solo consenso le scelte aziendali è insufficiente. Per questo il Gdpr rafforza le garanzie con un approccio di tipo essenzialmente preventivo. Grazie al nuovo regolamento europeo azienda a dover garantire che dati saranno trattati correttamente mentre sono le autorità di garanzia che dovranno vigilare perché i cittadini da soli non saranno mai in grado di verificare che uso viene fatto dei loro dati”.

Il prefetto Alessandro Pansa, capo del Dipartimento Informazioni per la Sicurezza della Presidenza del Consiglio, ha detto che gli stati si sono distratti e che quattro o cinque aziende multinazionali hanno su di noi più dati dei servizi segreti. Abbiamo regalato la nostra libertà per un piatto di lenticchie?

“I decisori politici del pianeta hanno sottostimato le sfide della trasformazione digitale ma anche gli utenti hanno la loro responsabilità. Ma le leggi da sole qui non bastano. Si tratta di una sfida culturale. Bisogna imparare a pensare la rete come a una dimensione della vita”.

“Le aziende digitali e i governi che hanno il controllo dei nostri dati producono una sorveglianza totale. Per questo i diritti nella dimensione online vanno riconosciuti come nella real life, nella vita analogica. La protezione dei dati è rilevantissima per la difesa della libertà”.

“I dati siamo noi. La protezione dell’umanità passa attraverso la protezione dei nostri dati”.

(dal sito del Garante: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9051020)

DiGiampaolo Cirioni

Si può chiedere la dichiarazione dei redditi del coniuge al Fisco?

Pillole di Privacy #8 – 16/10/2018

Tendenzialmente, va subito precisato che la privacy lo vieta.

Vale a dire che non si può imporre all’Agenzia delle Entrate di esibire una copia della dichiarazione dei redditi del coniuge. Neanche se la richiesta viene motivata dall’esigenza di difendersi in giudizio e produrre le prove al tribunale. E infatti anche per il Gdpr le esigenze delle privacy recedono di fronte alla necessità di garantire l’esercizio del diritto di difesa in sede giudiziaria.

Va però detto che la ricostruzione del patrimonio dei coniugi per determinare l’assegno di mantenimento trova ampia tutela nel nostro ordinamento per cui il giudice della separazione può decidere se e come provvedere, tenuto conto che può disporre anche indagini di polizia tributaria a carico delle parti.

Quindi, in sostanza, il coniuge non ha diritto a chiedere, prima o durante la causa, le dichiarazioni dei redditi al Fisco, ma sarà il magistrato ad emettere un provvedimento – su richiesta della parte – con cui ordina l’esibizione della documentazione.

Il che consente da un lato la tutela della privacy del contribuente e dall’altro l’esercizio del diritto di difesa giudiziale per il coniuge richiedente.

DiGiampaolo Cirioni

FAQ del Garante per usufruire della definizione agevolata dei procedimenti sanzionatori pendenti

Il Garante per la protezione dei dati personali ha messo a punto una serie di indicazioni operative per chiarire a soggetti pubblici e privati come usufruire della definizione agevolata dei procedimenti sanzionatori pendenti. L’agevolazione è stata prevista dal recente decreto legislativo 101/2018 che ha adeguato la normativa italiana alle disposizione del Regolamento europeo 2016/679 in materia di privacy. Le FAQ sono disponibili da oggi sul sito dell’Autorità: https://www.garanteprivacy.it/home/faq/faq-definizione-agevolata-delle-violazioni-in-materia-di-protezione-dei-dati-personali

A partire dal 19 settembre chi intende avvalersi di questa facoltà potrà oblare le sanzioni mediante il pagamento in misura ridotta di una somma pari ai due quinti del minimo edittale stabilito per la sanzione. Il pagamento dovrà essere effettuato entro il 18 dicembre 2018.

Potranno usufruire di questa speciale procedura quanti abbiamo ricevuto entro il 25 maggio 2018, data di piena applicazione del Regolamento Ue, l’atto con il quale sono stati notificati gli estremi della violazione o l’atto di contestazione.

Tra le altre istruzioni, le FAQ del Garante specificano anche le modalità per il pagamento delle sanzioni, l’importo da pagare per ciascuna violazione commessa e i casi di esclusione dalle agevolazioni.

(01/10/2018)

DiGiampaolo Cirioni

Audizione informale di Antonello Soro, Presidente del Garante per la protezione dei dati personali

Audizione informale di Antonello Soro, Presidente del Garante per la protezione dei dati personali, nell’ambito dell’esame in sede referente del disegno di legge C. 1189 Governo, recante “Misure per il contrasto dei reati contro la pubblica amministrazione e in materia di trasparenza dei partiti e movimenti politici” – presso le Commissioni riunite I Affari costituzionali e II Giustizia della Camera dei Deputati (10 ottobre 2018)
TESTO: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9049788
VIDEO (intervento di Soro a partire da 1 ora e 24 minuti): http://webtv.camera.it/evento/13072

DiGiampaolo Cirioni

Chi pensa che per essere in regola con il GDPR sia sufficiente compilare file o moduli si sbaglia, e di molto!

Pillole di Privacy #5 – 01/10/2018
L’intero Regolamento si basa sul principio di Accountability, ovvero di responsabilizzazione di chi è titolare del trattamento dei dati. Quest’ultimo, infatti, avrà l’obbligo di prendersi del tempo per seguire con attenzione il percorso del dato e dovrà garantirgli la massima sicurezza possibile in tutto il suo percorso.

Sembra facile, ma non lo è, non è standardizzabile poiché ognuno ha una struttura informatica diversa, ognuno ha relazioni gestite in modo diverso, la nuova Privacy è “un vestito su misura” da riprovare ogni anno per adattarlo ai cambiamenti fisiologici.