Articoli

GDPR Exclusive Community 2020

27 febbraio – 2 aprile 2020, Roma, Palazzo Passarini Falletti, via Panisperna 207

L’avv. Vincenzo Colarocco, in partnership con TopLegal Academy, ha organizzato la prima edizione del GDPR Exclusive Community 2020, un ciclo di 6 incontri sui temi più attuali che caratterizzano la nuova normativa in materia di protezione dei dati personali. Continua a leggere

Intelligenza Artificiale: in arrivo il Libro Bianco della Commissione Europea

Avv. Vincenzo Colarocco

La Commissione Europea ha annunciato che il prossimo 19 febbraio sarà pubblicato il c.d. Libro bianco sull’Intelligenza artificiale (scopo di tale “White Paper” è quello di avviare un confronto con il pubblico, le parti interessate, il Parlamento europeo e il Consiglio al fine di raggiungere il consenso politico) che ha il precipuo obiettivo di gettare le fondamenta del dibattito sulle questioni etiche legate all’intelligenza artificiale.

Del testo, il quale rappresenta l’esito della discussione pubblica inerente proposte per affrontare le sfide poste da questa tecnologia, è disponibile una bozza pubblicata dal sito di informazione Euractiv. Le informazioni trapelate da tale bozza hanno avuto un ampia eco, specie quelle riguardanti la moratoria sul riconoscimento facciale: infatti, tra le proposte avanzate dalla Commissione, spicca quella che prevede la possibilità di vietare l’uso di sistemi di riconoscimento facciale nei luoghi pubblici per un periodo che va dai tre ai cinque anni al fine di “salvaguardare i diritti delle persone, in particolare contro ogni possibile abuso della tecnologia”.

Allo stato, si attende la pubblicazione del documento – che, stando a quanto dichiarato alla commissione Affari legali del Parlamento europeo dal Commissario alla Concorrenza, Margrethe Vestager, sarà accompagnato da una relazione sulla sicurezza e le responsabilità nell’intelligenza artificiale – per comprendere la posizione strategica che l’Unione Europea vuole adottare sul tema sempre più importante per la tutela degli interessati.

“Security-Enabled Transformation: la resa dei conti”: di cosa si è discusso del Politecnico di Milano presso l’Aula Magna Carassa e Dadda, campus Bovisa del Politecnico di Milano il 5 febbraio 2020

Avv. Vincenzo Colarocco

Lo scorso 5 febbraio 2020, presso l’Aula Magna Carassa e Dadda, campus Bovisa, si è tenuto il Convegno “Security-enabled transformation: la resa dei conti” in cui sono stati presentati i risultati della Ricerca dell’Osservatorio Security & Privacy della School of Management del Politecnico di Milano (in seguito anche “Osservatorio”).

I Responsabili Scientifici dell’Osservatorio, hanno dato avvio ai lavori proponendo, insieme ai relatori chiamati al confronto, la presentazione dei risultati della Ricerca. Dall’introduzione di questo evento, già si è potuto capire, l’intento di rispondere al bisogno di conoscere, comprendere e affrontare le principali problematiche dell’information security e privacy, monitorando l’utilizzo di nuove tecniche e tecnologie a supporto di tale area da parte delle aziende e user e creando una community permanente di confronto. Come è stato più volte ribadito durante l’evento e riprendendo le parole del Garante per la protezione dei dati personali, è necessario porre l’accento “sull’importanza della protezione dati come presupposto ineludibile della sicurezza individuale e collettiva, tanto più necessario all’epoca dei big data e dell’Internet di “ogni cosa”. Con riferimento all’evoluzione del mercato dell’information security, la dinamica del mercato conferma la maggiore attenzione al tema security e data protection. È seguito, poi, l’intervento di Raoul Brenna (Responsabile della Practice Cybesecurity in CEFRIEL e Direttore del Percorso di Alta Formazione per Cybersecurity Manager) che ha ribadito come dalle nuove tecnologie nascono nuove opportunità ma anche nuove minacce e come determinati fattori quali, la cultura, il livello di persone e di organizzazione, siano elementi imprescindibili in un’ottica di cybersecurity. A seguire vi sono state molteplici tavole rotonde incentrate sui temi della:

  • trasformazione digitale e il ruolo strategico della sicurezza: tra security-by-design e strumenti della difesa real time”;
  • gestione dell’Industrial Security: tecnologie, modelli organizzativi e scenari di rischio”: ci si è soffermati sulla necessità di guardare prima la minaccia e poi la vulnerabilità differenziando i casi di “minaccia economicamente motivata” (più pericolosa) da quelle minacce poste in essere da aggressori “non economicamente motivati”. Inoltre, è stato precisato come sia sempre più opportuno porre in essere delle simulazioni di attacco per la verifica delle procedure aziendali in linea con le aspettative di business. E ancora, ci si è soffermati sulla security by design: prevedendo dei piani di miglioramento della sicurezza a lungo termine (minimizzazione dei contenuti e introduzione di una security by design nei processi con proposizione di standard per l’integrazione dei sistemi di sicurezza (nuovi impianti e linee produttive).
  • “GDPR e data protection: procedure e strumenti per garantire la compliance alle normative”. Durante il confronto, sono state raccontate le esperienze di adeguamento di varie realtà aziendali.

A seguire, nel pomeriggio, si è dato avvio a due sessioni parallele, l’una incentrata sui temi più tecnologici con riferimento all’ “Evoluzione dell’Information security tra nuove minacce e specializzazione delle difese” moderata da L. Bechelli, e l’altra sugli “Strumenti per garantire la compliance normativa e una efficace gestione dei rischi”, moderata da G. Troiano. Durante quest’ultima fase e nel corso della prima sessione sono state evidenziate alcune feature importanti per un sistema di gestione integrato, tra cui:

  • la definizione di un modello organizzativo per la data privacy fondato sul principio di accountability o responsabilizzazione;
  • la centralità del ruolo del Data Protection Officer;
  • la necessità di adeguare il corpo normativo interno con aggiornamento dei controlli tecnologici e delle clausole contrattuali per la gestione delle terze parti;
  • la definizione di un’infrastruttura tecnologica;
  • la definizione di una struttura organizzativa;
  • la definizione esaustiva di minacce, misure di sicurezza, nonché di gestione del rischio orientato al miglioramento continuo, anche per una migliore gestione dei data breach.

Come calcolare il rischio data protection? Arriva il tool dell’ENISA

Avv. Vincenzo Colarocco

Sin dal 2018, l’Agenzia europea per la sicurezza delle reti e dell’informazione, anche nota come ENISA, in linea con il principio di accountability sancito dal legislatore comunitario, ha promosso un approccio basato sul rischio per l’adozione di misure di sicurezza per la protezione dei dati personali. Nell’esercizio della propria funzione, tutta incentrata sull’analisi di soluzioni tecniche ottimali per l’implementazione degli adempimenti prescritti dal GDPR, in un’ottica di mitigazione del rischio, l’Agenzia ha lanciato una piattaforma online che consente di ottenere il profilo di rischio del trattamento posto in essere. La piattaforma è da intendersi come strumento collettivo per la gestione del rischio lato data protection: infatti, le raccomandazioni si riferiscono non soltanto alle PMI, ma anche agli organismi competenti dell’UE ed alle autorità di controllo, fino alla Commissione europea.

La piattaforma è stata resa disponibile in occasione della giornata della protezione dei dati personali 2020, il 28 gennaio.

Allarme ransomware: azienda licenzia 300 dipendenti

Avv. Vincenzo Colarocco

“The Heritage Company”, società americana con sede in Arkansas e 61 anni d’esperienza, potrebbe chiudere definitivamente. Poco prima del Natale, infatti, circa 300 lavoratori hanno ricevuto una lettera dalla compagnia in cui si invitava gli stessi a “cercare un altro lavoro”.

All’origine dell’infausto evento ci sarebbe un attacco ransomware.

Nello specifico, la società di telemarketing era stata colpita lo scorso ottobre da un virus il quale, colpendo i server aziendali, aveva ottenuto i dati in questi circolanti, paralizzando l’attività di tutti gli impiegati. Nella lettera, ottenuta dai media locali, si leggono le parole dell’amministratore delegato, Sandra Franecke, la quale spiega che all’attacco ha fatto seguito una richiesta di riscatto alla quale, la società, ha deciso di adempiere: tutto, pur di riprendere l’attività.

Purtroppo, però, le operazioni di restore hanno richiesto più tempo del dovuto, causando all’azienda perdite per centinaia di migliaia di dollari, perdite che hanno inciso sulla scelta di adottare il drastico comunicato.

Non è la prima volta che, nell’ultimo anno, attacchi ransomware hanno portato alla perdita di posti di lavoro da parte di dipendenti aziendali e persino alla chiusura d’intere aziende.

A settembre, ad esempio, il “Wood Ranch Medical”, con sede in California, ha annunciato che avrebbe chiuso a dicembre, in quanto il provider non era stato in grado di recuperare le cartelle cliniche dei pazienti perse sulla scia di un attacco ransomware di agosto.

Il “Brookside ENT and Hearing Center” del Michigan, invece, annunciò chiusura in aprile, dopo aver rifiutato di pagare il riscatto agli hackers, con il risultato che questi ultimi hanno cancellato tutti i dati dei loro pazienti.

L’Italia in pole position per le sanzioni GDPR del 2019

Avv. Vincenzo Colarocco

L’inizio dell’anno è per antonomasia tempo di bilanci e così è stato anche per l’Osservatorio di Federprivacy che ha condotto uno studio mirato ad analizzare le attività istituzionali in materia di privacy svolte nei 30 Paesi dello Spazio Economico Europeo. Più in particolare sono state computate le sanzioni inflitte nel corso dell’anno spirato da parte delle autorità di controllo. Dell’ammontare complessivo di 410 milioni di euro, il primato è detenuto dall’Italia, con 30 provvedimenti irrogati, per un totale di 4.341.990 euro. Sebbene il susseguirsi delle proroghe non abbia concesso al collegio del Garante di rinnovarsi alla scadenza del suo incarico, ciò non ha impedito all’Authority in carica di svolgere regolarmente le proprie attività ispettive, le quali già alla fine del primo semestre del 2019 avevano individuato 779 contravventori, con una riscossione complessiva prevista di circa 11 milioni di euro al termine dei singoli procedimenti sanzionatori. Tra le infrazioni ricorrenti, nel 44% dei casi si è trattato di trattamento illecito di dati, nel 18% dei procedimenti sono state riscontrate insufficienti misure di sicurezza, il 13% è costituito dal  mancato rispetto dei diritti degli interessati ed il 9% rispettivamente dalla omessa o inidonea informativa (9%) e dagli incidenti informatici e “data breach”. Subito dopo l’Italia, l’autorità spagnola (AEPD) con 28 sanzioni e al terzo posto quella romena (ANSPDCP) con 20 sanzioni comminate. Per quanto concerne il quantum delle sanzioni, l’’autorità più severa in assoluto è risultata quella del Regno Unito (ICO), che ha erogato multe per 312 milioni di euro, pari al 76% del totale complessivo relativo alle nazioni prese in esame. All’altro estremo si collocano le autorità di controllo di Irlanda e Lussemburgo, che non hanno ancora irrogato alcuna sanzione: sarà un caso che le multinazionali straniere che trattano dati personali su larga scala scelgano proprio questi Paesi per nominare il proprio rappresentante stabilito in Europa?

Cessione dei crediti e trattamento dei dati: il principio di minimizzazione deve esser sempre rispettato

Avv. Vincenzo Colarocco

Con recente ordinanza (n. 34113/2019) del 19 dicembre 2019, la Suprema Corte di Cassazione ha avuto modo di esprimersi circa il corretto (e doveroso) bilanciamento tra il trattamento dei dati personali connesso alle attività di recupero del credito ed il principio di minimizzazione dei dati, sottolineando la necessità di limitare le attività di trattamento ed il novero dei dati trattati a quanto strettamente necessario per il perseguimento delle finalità alla base della raccolta.

Per quanto attiene al caso di specie sotteso alla pronuncia in esame, basti sinteticamente rilevare che, con sentenza del 2012, il Tribunale di Napoli condannava il Banco di Napoli s.p.a. a rifondere in favore dell’attore una cospicua somma di denaro dovuta a titolo di responsabilità pre-contrattuale, oltre al risarcimento dei danni quantificati nella somma di € 5.000,00 per violazioni della vigente normativa in materia di protezione dei dati personali. Tali violazioni sarebbero, in particolare, state perpetrate in relazione al trattamento dei dati dell’attore connesso alla fase della cessione del credito da parte dell’istituto bancario.

Del medesimo avviso non risultava la competente Corte d’Appello evidenziando come, una volta eseguito il pignoramento immobiliare, risulterebbe inevitabile che la vicenda debitoria travalichi gli stretti ambiti del rapporto debitore-creditore, coinvolgendo tutti i possibili soggetto interessati all’acquisto del bene staggito.

L’interessato de quo proponeva quindi ricorso per Cassazione adducendo, tra gli altri motivi d’impugnazione, anche la violazione e falsa applicazione degli artt. 15 e seg. del D. Lgs. del Codice Privacy (per tale intendendosi la versione ratione temporis vigente, antecedente alle modifiche apportate dal D. Lgs. 101/2018) in virtù dell’asserita circostanza per cui la Banca la Banca avrebbe segnalato l’interessato debitore a soggetti privati “acquirenti di crediti”, fornendo loro dati sensibili in ordine alla persona del debitore, alla sua abitazione e alla sua situazione debitoria.

La Suprema Corte, quindi, nel rigettare le descritte doglianze, ha avuto modo di soffermarsi anche sull’attuale quadro normativo, rappresentando che il previgente “principio di necessità del trattamento”, di cui agli abrogati artt. 3 e 11 del Codice Privacy, sia stato recentemente riaffermato con l’entrata in vigore dell’art. 5 lett. c) del Regolamento UE 2016/679 (“GDPR”), a mente del quale i dati dovranno risultare “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)”.

La Cassazione, in più, si è espressa anche in ordine all’onere della prova circa la lamentata violazione del principio di minimizzazione dei dati, sottolineando come il ricorrente non avesse fornito alcuna dimostrazione in merito alla violazione del detto principio nell’ambito della comunicazione dei propri dati a soggetti terzi; ulteriormente rilevandosi che la Banca non potrebbe incorrere, a priori, in una violazione della normativa in ambito privacy “solo perché abbia fornito ai soggetti acquirenti del credito informazioni riguardanti la debitrice funzionali alla cessione del credito, quali la situazione debitoria, ubicazione dell’immobile vincolato alla garanzia del credito, etc.”.

Elezione Garante Privacy. Il 18 febbraio si vota in Camera e al Senato

Avv. Vincenzo Colarocco

Come si apprende da key4biz.it, quotidiano online sulla digital economy, è stata fissata la data per la votazione del Garante per la protezione dei dati personali presso la Camera dei Deputati.

La conferenza dei capigruppo di Montecitorio ha deciso per il 18 febbraio 2020 e il voto sarà doppiamente “unificato”: sia perché la votazione avrà ad oggetto la scelta dei componenti di competenza della Camera non solo per l’Authority Privacy, ma anche dell’AGCOM, sia perché, nello stesso giorno si voterà anche al Senato della Repubblica sulle medesime cariche.

La decisione ha accolto il monito del Presidente della Repubblica dello scorso 27 dicembre, in cui sollecitava le conferenze deputate dei due organi costituzionali nel provvedere in tal senso.

Dati personali e ricerca scientifica: quali limiti?

Avv. Vincenzo Colarocco

L’European Data Protection Supervisor (EDPS) ha pubblicato lo scorso 6 gennaio, il parere preliminare sulla protezione dei dati e la ricerca scientifica, in un contesto in cui rilevanti sono oramai gli aspetti circa il rapporto esistente tra la digitalizzazione, il progresso delle tecnologie, i big data, rispetto alla indispensabile tutela dei dati personali e al relativo consenso: la digitalizzazione ha reso la generazione e la diffusione di dati personali più semplice ed economica trasformando il modo in cui viene condotta la ricerca scientifica.

La protezione dei dati è destinata a servire da “rete di sicurezza” per le persone i cui dati sono necessari per sostenere la ricerca scientifica: i dati personali, infatti, consentono una migliore comprensione delle malattie, dello sviluppo di nuove terapie e del miglioramento generale della qualità della vita. Si aggiunge che la digitalizzazione ha innegabilmente contribuito a creare un nuovo potenziale per la responsabilizzazione del singolo tenuto ad affrontare profonde questioni sociali come la sanità pubblica.

Il presente parere preliminare trae origine dal lavoro dell’EDPS e del Gruppo di Lavoro “Articolo 29” con lo scopo di promuovere una approfondita riflessione tra la community della ricerca e quella della protezione dei dati personali.

Il documento si struttura in sei sezioni che vengono delineati come segue:

–          in primo luogo, viene delineato il quadro generale della ricerca scientifica nell’era digitale e le questioni ad essa correlate (sezione 2);

–          successivamente, viene circoscritto il concetto di ricerca scientifica rispetto al Regolamento UE 2016/679 (“GDPR) (sezione 3);

–          viene delineato il quadro di governance e la politica di ricerca nell’Unione europea ed all’interno del quale si colloca la protezione dei dati, con particolar riguardo agli studi clinici ed alla ricerca medica nel rispetto della dignità umana e il diritto all’integrità della persona (sezioni 4 e 5);

–          viene proposto un quadro sui principi cardine del GDPR connessi al trattamento dei dati per finalità scientifiche e/o di ricerca (a mero titolo esemplificativo e non esaustivo, i principi di liceità, correttezza, trasparenza, minimizzazione dei dati personali) (sezione 6).

Telemarketing indesiderato: 11,5 milioni di euro di sanzione a Eni gas e luce

Avv. Vincenzo Colarocco

Il Garante della Privacy è intervenuto nuovamente sul trattamento dei dati personali in relazione ad iniziative promozionali ed attivazione di contratti non richiesti.

All’esito di istruttorie avviate a seguito di numerose segnalazioni dei consumatori che lamentavano la ricezione di telefonate con operatore, il Garante ha potuto riscontrare condotte di sistema adottate da Eni Gas e Luce nel corso di attività di telemarketing e teleselling indesiderate, nonché violazioni nella conclusione di contratti, all’interno del mercato libero del fornitura di energia e gas, non richiesti.

Per tali motivi, il Garante ha emesso due sanzioni per un ammontare complessivo di 11,5 milioni di euro: una prima sanzione di 8,5 milioni di euro ed una seconda sanzione di euro 3 milioni.

Le gravi irregolarità sono state la conferma dell’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti; tempi di conservazione dei dati superiori a quelli consentiti; l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati, nonché determinato trattamenti non conformi al Regolamento UE, in quanto contrari ai principi di correttezza, esattezza e aggiornamento dei dati.