Articoli

Google, class action per violazione privacy durante la navigazione anonima

Una proposta di class action depositata in California chiede a Google 5 miliardi di dollari. L’azienda è accusata di aver illecitamente raccolto i dati di milioni di utenti, violandone invero la loro privacy, durante la modalità di navigazione privata, la quale consente di navigare in internet senza che vengano archiviate informazioni sensibili.
 
I fatti

In riferimento alla nota risorsa di “navigazione privata” in internet offerta dall’azienda di Mountain View, è stata depositata una proposta di class action davanti al tribunale federale di San Jose, in California. Si tratterebbe, se confermato, di una violazione della legge sulla privacy. In particolare, stando al report di Reuters, Google è accusata di raccogliere informazioni (si parla di rete di amicizie, hobby, cibi preferiti, abitudini di acquisto e persino inclinazioni sessuali) attraverso Google Analytics, Google Ad Manager ed altre applicazioni, nonché plug-in dei siti web, e ancora con “app” per smartphone, effettuando il tracking degli utenti, in assenza di adeguata informativa e di un valido consenso.

La difesa

Quanto alla dichiarazione rilasciata dal portavoce di Google, Jose Castaneda, viene reso esplicito come in siffatta ipotesi di navigazione in incognito, lo stesso Google Chrome dia la possibilità di navigare in internet senza che le attività siano salvate sul browser e sul dispositivo.

Contestualmente poi, lo stesso colosso del web, attraverso il portavoce suddetto, ha affermato che “Come diciamo chiaramente ogni volta che apri una nuova scheda in incognito, i siti Web potrebbero essere in grado di raccogliere informazioni sulla tua attività di navigazione”, dunque rendendosi certamente opportune e necessarie le azioni dell’informazione sulle finalità e modalità del trattamento, nonché della raccolta del consenso espresso dell’interessato.

Le possibili ripercussioni

Inoltre, sempre secondo quanto riferito dall’agenzia Reuters, l’eventualità di una soccombenza di Google in giudizio comporterebbe una perdita corrispondente a quasi il 6% del suo fatturato globale annuo, superiore invero alle sanzioni previste per specifiche violazioni del GDPR, fra cui rientra il caso di specie e per le quali, ai sensi 83, par. 5, GDPR sono previste sanzioni fino 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Avv. Vincenzo Colarocco

L’EDPB si pronuncia sulle possibili limitazioni ai diritti degli interessati

Il Comitato europeo per la protezione dei dati (EDPB) si è pronunciato sul tema della disciplina dei diritti degli interessati in occasione dello stato di emergenza negli Stati membri e sul principio di proporzionalità in occasione del bilanciamento tra interessi contrapposti ed ha annunciato che nei prossimi mesi emanerà linee guida sull’attuazione dell’articolo 23 del GDPR.
 
I diritti degli interessati

Il Comitato europeo per la protezione dei dati (EDPB) si è pronunciato sul tema della disciplina dei diritti degli interessati in occasione dello stato di emergenza negli Stati membri, rispondendo alla lettera indirizzata dalle organizzazioni Unione per le libertà civili per l’Europa, Access Now ed Unione ungherese per le libertà civili (HCLU).

Con la loro lettera, le organizzazioni hanno invitato il Comitato a pronunciarsi sul decreto del governo ungherese del 4 maggio scorso che ha limitato l’esercizio dei diritti previsti dagli artt. 15 ss. del GDPR in occasione dei trattamenti di dati personali posti in essere da parte di enti pubblici e privati ai fini della lotta alla diffusione del  COVID-19.

I chiarimenti dell’EDPB

L’EDPB ha chiarito che la protezione dei dati personali deve essere sempre garantita anche in occasione dell’adozione di misure di emergenza, contribuendo così al rispetto dei valori generali della democrazia, dello Stato di diritto e dei diritti fondamentali su cui si fonda l’Unione europea.

In particolare, viene chiarito che il GDPR, con le sue previsioni, consente già di strutturare una risposta efficace alla pandemia, anche mediante il trattamento dei dati personali. L’articolo 23 consente di limitare, mediante una misura legislativa, la portata dei diritti degli interessati purché nel rispetto dei diritti e delle libertà fondamentali ed in una misura necessaria e proporzionata. Con l’occasione, l’EDPB ha annunciato che nei prossimi mesi emanerà linee guida sull’attuazione dell’articolo 23 del GDPR.

Avv. Chiara Benvenuto

Cookie & scrolling: arriva la fine dell’ idillio?

Il Comitato Europeo per la Protezione dei Dati ha fornito indicazioni specifiche volte a regolamentare il complesso rapporto tra il mondo dei cookie ed il relativo libero consenso degli utenti del web.

L’European Data Protection Board (EDPB) ha adottato il 4.5.2020 delle nuove linee guida in materia di consenso al trattamento di dati personali, evidenziando la necessità di fornire ulteriori chiarimenti in merito al tema dei cookie, in particolare dei c.d. “cookie wall” e del rapporto tra “scrolling” e acquisizione del consenso.

Con riferimento al primo punto, l’EDPB ha chiarito come risulti contrario ai principi del GDPR condizionare l’accesso al sito web al rilascio di apposito consenso da fornirsi mediante i c.d. “cookie wall”. Tali “muri” impedirebbero l’accesso al sito sino a quando l’interessato non accetti i cookie del caso o proceda, mediante le apposite impostazioni, alla scelta tra i cookie installati. In particolare, si otterrebbe un consenso non liberamente espresso qualora il titolare bloccasse la visibilità di tutti i contenuti della propria pagina web, rendendo agli utenti unicamente visibile la propria cookie policy e l’opzione “Accetta i cookie”, impedendo dunque di accedere al sito senza fornire tale accettazione.

Quanto al secondo tema di novità, rappresentato dal c.d. “scrolling”, l’EDPB ha chiarito come il consenso debba generalmente tradursi in una manifestazione inequivocabile di volontà da parte dell’interessato. Azioni come lo scrolling di una pagina web non soddisferanno in nessun caso, quindi, la necessità di un’azione chiaramente affermativa alla base del rilascio di un consenso. Inoltre, simili categorie di azioni potrebbero risultare difficilmente distinguibili da altre attività inerenti la navigazione e non connesse al trattamento dei dati personali, con estrema difficoltà per il titolare di ottenere un consenso univoco. In siffatte ipotesi, del resto, sarà difficile fornire all’utente la possibilità di revocare il consenso facilmente così come l’ha concesso.

Avv.ti Vincenzo Colarocco e Pietro Maria Mascolo

Fase 2: quali misure per il ritorno sui luoghi di lavoro?

Il 4 maggio è iniziata in Italia la “Fase 2”. A fronte dell’individuazione da parte del Governo degli specifici settori merceologici, quali misure sono tenuti ad adottare i datori di lavoro per consentire il ritorno in sicurezza? A seguito dell’aggiornamento del “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” abbiamo predisposto alcune FAQ per le aziende.

Il 24 aprile 2020 è stato aggiornato il Protocollo del 14 marzo (poi confluito nel DPCM del 26.4.2020 sub allegato 6), in vista dell’inizio della “Fase 2”. Difatti, a seguito del primo Protocollo, con DPCM del 10 aprile 2020, il Governo ha istituito un Comitato di esperti in materia economica e sociale. Il Comitato ha elaborato le misure necessarie a fronteggiare l’emergenza e per una ripresa graduale nei diversi settori delle attività sociali, economiche e produttive, e ha tracciato le linee guida per l’aggiornamento del predetto protocollo sulla sicurezza dei lavoratori. Il nuovo Protocollo recepisce il documento tecnico sulla possibile rimodulazione delle misure di contenimento del contagio nei luoghi di lavoro e strategie di prevenzione reso disponibile dall’INAIL il 23 aprile 2020.

Le attività produttive individuate dai provvedimenti emanati possono fare ritorno sui luoghi di lavoro purché sia attuato il massimo utilizzo di modalità di lavoro agile (smart working) per le attività che possono essere svolte al proprio domicilio o in modalità a distanza. I datori di lavoro, inoltre, dovranno incentivare le ferie e i congedi retribuiti per i dipendenti nonché gli altri strumenti previsti dalla contrattazione collettiva, oltre a sospendere le attività dei reparti aziendali non indispensabili alla produzione. Infine, dovranno applicare protocolli di sicurezza anti-contagio che prevedano l’adozione di strumenti di protezione individuale in ogni caso in cui non sia possibile garantire il distanziamento sociale.

Per fare chiarezza sulle misure da adottare per un ritorno in sicurezza, il nostro Studio ha predisposto apposite FAQ.

Si segnala, inoltre, come in data 4 maggio 2020 il Garante per la protezione dei dati personali abbia fornito chiarimenti anche in relazione al trattamento di dati personali posto in essere per finalità di prevenzione e contenimento del contagio in ambito lavorativo, pubblico e privato, con apposite FAQ.

Avv.ti Vincenzo Colarocco e Chiara Benvenuto

EventBot, il nuovo malware che minaccia i conti correnti: come difendersi?

Bypassa l’autenticazione a due fattori e accede a pagine riservate. Si tratta di un trojan che per le sue capacità di evolversi rapidamente sembra essere sempre in grado di hackerare i sistemi.

EventBot è un trojan che, abusando delle funzionalità di accessibilità di Android, ruba i dati degli utenti dalle applicazioni finanziarie e legge i messaggi SMS per consentire al malware di bypassare l’autenticazione a due fattori e accedere alle pagine riservate del mobile banking. In questo modo, EventBot oltre a raccogliere informazioni finanziarie e bancarie, dati personali e password, consente all’aggressore di accedere direttamente ai conti bancari degli utenti.

Sembra che il malware abbia come obiettivo gli utenti di oltre 200 diverse applicazioni finanziarie, tra cui rientrano Paypal Business, Revolut, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase, Paysafecard.

Il gruppo di studio Cybereason Nocturnus segue EventBot da tempo e ha rilevato la peculiare capacità dello stesso di evolversi rapidamente: dall’inizio di marzo 2020, il team ha riscontrato quattro versioni diverse del malware.

Come difendersi?

In questi casi, le misure da prendere non sono mai sufficienti. Tuttavia, qualche consiglio potrebbe risultare utile. Si potrebbe cominciare con il mantenere il proprio dispositivo mobile sempre aggiornato alle ultime versioni; tenere sempre acceso Google Play Protect; evitare di scaricare applicazioni mobili da fonti non ufficiali o non autorizzate; utilizzare soluzioni di rilevamento delle minacce mobili, per una maggiore sicurezza.

Si raccomanda comunque di utilizzare sempre un pensiero critico quando si scaricano le applicazioni per dispositivi mobili, valutando se è il caso di dare tutti i permessi che vengono richiesti ed analizzando anche la privacy policy.

Avv.ti Vincenzo Colarocco e Marta Cogode

Didattica a distanza ai tempi del Covid-19: l’istruzione non si ferma, ma attenzione ai dati dei minori e agli attacchi malevoli

Avv. Vincenzo Colarocco

L’emergenza causata dal diffondersi del Covid-19, presta il fianco a soggetti malintenzionati che, facendo leva sull’attuale situazione, fanno girare e-mail e pec dubbie che a volte contengono dei veri e propri malware o, addirittura, hackerano i sistemi.

È proprio delle ultime ore la notizia dell’attacco alle piattaforme didattiche e ai registri online gestiti da Axios, che in poche ore sono stati messi letteralmente fuori uso.

Per tali ragioni, se, come vedremo, da un lato l’utilizzo di queste piattaforme è senz’altro utile oltre che consigliato, dall’altro impone l’adozione di ulteriori e più rigide misure di sicurezza, anche atte a limitare errori umani.

Secondo quanto previsto dal Dpcm dell’8 marzo 2020, i dirigenti scolastici attivano, nel più ampio esercizio delle proprie prerogative, per tutta la durata della sospensione delle attività didattiche nelle scuole, modalità di didattica a distanza, con particolare attenzione alle specifiche esigenze degli studenti con disabilità (art. 2 lett. m). Previsione similare è contenuta nello stesso decreto per le Università per le quali le attività didattiche o curriculari possono essere svolte con modalità a distanza dalle stesse individuate (art. 2 lett. n).

Il MIUR, con la nota dell’8 marzo, ha chiarito che la didattica a distanza deve garantire, quanto più possibile, la continuità didattica che non consiste nella mera trasmissione di materiali ma si sostanzia in un insieme di attività che vanno “dalla registrazione delle lezioni, all’utilizzo di piattaforme per la didattica a distanza, presso l’istituzione scolastica, presso il domicilio o altre strutture”.

Anche il Garante per la protezione dei dati personali, con il Provvedimento del 26 marzo 2020, n. 64, ha fornito delle prime indicazioni utili per la didattica a distanza dal punto di vista privacy.

 In particolare, l’Autorità ha avuto modo di chiarire che gli istituti scolastici “dovranno conformarsi ai principi di privacy by design e by default, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati (artt. 24 e 25 del Regolamento).Varie piattaforme o servizi on line permettono di effettuare attività di didattica a distanza, consentendo la configurazione di “classi virtuali”, la pubblicazione di materiali didattici, la trasmissione e lo svolgimento on line di video-lezioni, l’assegnazione di compiti, la valutazione dell’apprendimento e il dialogo in modo “social” tra docenti, studenti e famiglie. Alcune piattaforme offrono anche molteplici ulteriori servizi, non sempre specificamente rivolti alla didattica. Tra i criteri che devono orientare la scelta degli strumenti da utilizzare è, dunque, opportuno includere, oltre all’adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, anche le garanzie offerte sul piano della protezione dei dati personali (artt. 5 e ss. del Regolamento).

Con riferimento al consenso è stato chiarito che le istituzioni scolastiche non devono richiedere il consenso per la gestione dei dati personali degli interessati trattati per il tramite delle piattaforme digitali non tanto perché era già stato rilasciato al momento dell’iscrizione quanto, piuttosto, perché è connesso all’esecuzione di un contratto di cui l’interessato è parte ovvero all’esecuzione di un compito d’interesse pubblico (art. 6 lett. b) ed e) del Regolamento).

Considerazioni diverse, invece, andrebbero fatte qualora si vogliano utilizzare dati particolari, ad esempio dati biometrici, per permettere tanto agli studenti che stanno per concludere il liceo quanto agli studenti universitari di sostenere gli esami da remoto. In questi casi il trattamento del dato biometrico dello studente è legittimato dall’acquisizione del suo consenso, ai sensi e per gli effetti dell’art. 9 lett. a) del Regolamento.

 “Le istituzioni scolastiche sono invece tenute, qualora non lo abbiano già fatto, ad informare gli interessati del trattamento secondo quanto previsto dagli artt. 13 e 14 del Regolamento UE 2016/679”. Così la nota del MIUR sull’informativa. In linea con quanto previsto dalla normativa vigente gli istituti scolastici sono tenuti a informare i propri studenti.

Il Garante Privacy ha avuto modo di precisare che “la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”.

Cyber security: l’AgID mette a disposizione il tool di valutazione del rischio cyber

Avv. Vincenzo Colarocco

L’Agenzia per l’Italia Digitale (AgID) è l’agenzia tecnica della Presidenza del Consiglio che si occupa di presidiare la realizzazione degli obiettivi dell’Agenda digitale italiana e promuovere l’utilizzo delle tecnologie dell’informazione e della comunicazione nell’ottica dell’innovazione e dello sviluppo economico. In particolare, l’AgID supporta e coordina le pubbliche amministrazioni nell’esecuzione del progetto di digitalizzazione di cui al Piano Triennale per l’informatica della P.A.. Nell’esercizio della propria funzione, l’AgID ha sviluppato e messo a disposizione delle P.A. un tool di autovalutazione per il calcolo del rischio cyber.

[Immagine estratta dal sito https://www.sicurezzait.gov.it/cyber/]

Il servizio, conforme al Regolamento Generale sulla protezione dei dati ha l’obiettivo di fornire una prima e indicativa analisi dello stato di compliance in tema di cybersecurity, al solo scopo autovalutativo (pre-assessment), senza sostituirsi agli strumenti messi a disposizione dalle autorità competenti, anche alla luce del generale principio di accountability o responsabilizzazione del titolare del trattamento. È possibile accedere al tool previa autenticazione mediante SPID al sito https://www.sicurezzait.gov.it/cyber/.

Il Comitato europeo per la protezione dei dati modifica e COVID-19: in arrivo le Linee Guida

Avv. Vincenzo Colarocco

Il Comitato europeo per la protezione dei dati, con comunicato del 3 aprile 2020, ha annunciato l’inizio dei lavori per la predisposzione delle linee guida sui seguenti temi:

  1. i) uso dei dati di localizzazione e anonimizzazione dei dati;
  2. ii) trattamento dei dati sanitari per scopi scientifici e di ricerca e trattamento dei dati in occasione dello smart working. Le linee guida si propongono, tra le altre cose, di uniformare i trattamenti posti in essere in Europa, anche sotto gli aspetti delle basi giuridiche e dei principi applicabili.

In ragione di ciò durante la ventesima sessione plenaria del 7 aprile u.s., il Comitato ha assegnato ai suoi sottogruppi di esperti due mandati per l’elaborazione di orientamenti e linee guida in materia di:

  1. geolocalizzazione e altri strumenti di tracciamento nel contesto dell’epidemia COVID-19;

2. elaborazione di dati sanitari a fini di ricerca nel contesto dell’epidemia COVID-19.

La Commissione UE adotta una raccomandazione sul contenimento del Coronavirus attraverso le applicazioni

Avv. Vincenzo Colarocco

La Commissione europea, con raccomandazione dell’8 aprile 2020, ha definito un percorso per l’adozione, insieme agli Stati membri, di un pacchetto di misure per l’utilizzo delle applicazioni su dispositivi mobili per ragioni di prevenzione e contenimento del Coronavirus.

Tale percorso prevede: a) un approccio coordinato e paneuropeo per l’utilizzo delle applicazioni mobili al fine di consentire ai cittadini di adottare misure di distanziamento sociale efficaci e più mirate e per scopi di allerta, prevenzione e tracciamento dei contatti e b) un approccio comune per la standardizzazione e previsione dell’evoluzione del virus mediante dati relativi all’ubicazione aggregati e anonimizzati.

Il 23 marzo 2020 la Commissione ha già avviato un dialogo con gli operatori di telefonia mobile degli Stati membri.

Le predette attività sono prodromiche all’elaborazione, prevista entro il 15 aprile 2020, da parte degli Stati membri, insieme alla Commissione e in collaborazione con il Comitato europeo per la protezione dei dati, di un pacchetto di strumenti per un approccio paneuropeo per le applicazioni mobili. Per sostenere gli Stati membri la Commissione emanerà orientamenti, anche in materia di protezione dei dati e di tutela della vita privata. Gli Stati membri dovrebbero riferire in merito alle misure intraprese entro il 31 maggio 2020 e renderle accessibili agli altri Stati membri e alla Commissione per la loro valutazione. La Commissione valuterà i progressi compiuti e pubblicherà relazioni periodiche a partire dal giugno 2020 e per tutta la durata della crisi, raccomandando azioni e/o provvedendo all’eliminazione graduale delle misure non più necessarie.

Il Garante svedese sanziona Google con una multa da 7 milioni di Euro per violazione del diritto all’oblio

Avv. Vincenzo Colarocco

Il Garante privacy svedese ha avviato due istruttorie, rispettivamente nel 2017 e nel 2018, volte a verificare la compliance di Google in relazione alla gestione delle richieste provenienti dagli utenti interessati per l’esercizio del diritto all’oblio. All’esito di tali istruttorie, il Garante ha ritenuto violate le disposizioni del GDPR (in particolare, dell’art. 17) ed ha dunque comminato una sanzione di 7 milioni di Euro al motore di ricerca. Anzitutto il Garante ha rilevato che il delisting richiesto non era stato completamente posto in essere in due specifici casi e ha dunque aperto una nuova indagine di follow-up conclusasi con la rilevazione di una pratica non ammessa. Da quanto emerso, infatti, quando Google, in accoglimento della richiesta dell’interessato, rimuove un risultato dalle ricerche ne dà notizia al titolare del sito web su cui tale notizia è stata pubblicata: ciò permette ai titolari di ripubblicare la pagina web in questione su un altro indirizzo web che, dunque, ri-apparirà poi in una ricerca sul motore di Google, con ogni conseguente pregiudizio per il diritto espressamente riconosciuto dalla normativa comunitaria.