Articoli

Il Comitato europeo per la protezione dei dati fornisce nuove linee guida sui concetti di titolare e responsabile del trattamento

Il 2 settembre scorso, il Comitato europeo per la protezione dei dati ha emanato le Guidelines n. 7/2020 sui concetti di titolare del trattamento e responsabile del trattamento al fine di aggiornare e superare l’Opinion n. 1/2010 del Working Party 29 e di fornire chiarimento ai molteplici quesiti posti, a partire dalla pubblicazione del GDPR, sui tali definizioni. Il documento si presta anche a riflessioni sulle conseguenze connesse alla scelta dei ruoli della privacy.
 
Premessa

Le Linee guida sui concetti di titolare del trattamento e responsabile del trattamento (nel seguito “Linee guida”), adottate in data 2 settembre 2020, sostituiscono, dopo ben dieci anni comprensivi dall’emanazione del nuovo corpus normativo, l’Opinion n. 1 del Working Party 29 (“WP29”) sugli stessi temi risalente al febbraio 2010.

La predisposizione ed adozione del documento in esame risponde all’esigenza percepita dalle autorità indipendenti nazionali e dallo stesso Comitato europeo di fornire chiarimento ai molteplici quesiti posti, a partire dalla pubblicazione del GDPR, sui concetti di titolare e responsabile del trattamento. L’occasione ha consentito, poi, al Comitato di pronunciarsi anche in relazione agli aspetti ancora poco limpidi del rapporto di contitolarità, disciplinato dall’art. 26 del Regolamento, dunque sugli obblighi del responsabile del trattamento, fissati, in particolare, dall’art. 28 GDPR. Le Linee guida sono attualmente oggetto di consultazione pubblica.

Sul loro contenuto, occorre precisare in premessa come il documento si articoli in due sezioni principali, rispettivamente sugli elementi costitutivi le singole definizioni di titolare, responsabile e contitolari del trattamento e sulle principali conseguenze connesse a detti ruoli.

Nel seguito ci si soffermerà sui chiarimenti offerti sui ruoli privacy, facendo breve menzione degli aspetti salienti delle conseguenze ad essi connesse.

Le definizioni

Partendo dal ruolo del titolare del trattamento, il Comitato, ha fornito specifici chiarimenti sui suoi elementi costitutivi, prendendo le mosse dal disposto dell’art. 4 n. 7 del GDPR.

In particolare, la definizione di titolare è costituita da cinque “momenti” principali: i) “la persona fisica o giuridica, l’autorità pubblica, l’agenzia o altro organismo“, ii) “determina“, iii) “da sola o congiuntamente ad altri“, iv) “le finalità e i mezzi“, v) “del trattamento dei dati personali“.

Con la prima locuzione, chiarisce il Comitato, il legislatore ha inteso non prevedere alcuna limitazione alla tipologia di entità potenzialmente in grado di assumere il ruolo di titolare del trattamento. Titolare potrà dunque essere indistintamente la singola persona fisica, l’associazione di persone o la persona giuridica, senza confondere il caso in cui nell’organigramma aziendale venga individuata la figura preposta alla gestione del trattamento, mantenendo la società di appartenenza le responsabilità ad esso connesse. Il Comitato a tal proposito cita una vicenda giunta innanzi alla Corte di Giustizia dell’Unione Europea, ove una intera comunità religiosa veniva ritenuta, insieme ai propri fedeli, titolare del trattamento (C-25/17, “Jehovah’s witnesses”).

Il secondo elemento costitutivo del concetto di titolare, ovvero il verbo “determina”, si riferisce all’ “influenza” del titolare, in virtù dell’esercizio di un potere decisionale. Per vagliare la sussistenza di tale influenza, ai fini definitori, occorre procedere con un’analisi fattuale piuttosto che formale. In particolare, secondo il Comitato, si possono distinguere due tipologie di controllo: i) controllo derivante da disposizioni di legge e ii) controllo derivante da una concreta influenza fattuale.

Mentre il terzo elemento fa riferimento all’eventualità di un rapporto di contitolarità nella determinazione di finalità e modalità del trattamento, specifica l’EDPB che la locuzione “le finalità ed i mezzi” non è scelta casuale del legislatore europeo e, di conseguenza, perché possa dirsi ricorrente il ruolo di titolare è necessario che la determinazione attenga non soltanto alle finalità ma anche alle modalità attraverso le quali il trattamento si articola.

Il Comitato ritiene che le decisioni sullo scopo del trattamento debbano essere sempre di esclusiva competenza del titolare, mentre per quanto riguarda la determinazione dei mezzi  si possa distinguere tra mezzi essenziali e non essenziali: per i primi si intendono i mezzi strettamente legati allo scopo e alla portata del trattamento, intrinsecamente riservati al titolare (es. tipologia di dati trattati, durata del trattamento, categorie di destinatari, categorie di interessati coinvolti), mentre per i secondi gli aspetti più pratici dell’attuazione, come la scelta di un particolare tipo di hardware o software o le misure di sicurezza dettagliate, suscettibili di essere definiti anche dal  responsabile del trattamento.

Infine, sul ruolo del titolare, è necessario dare applicazione ai predetti parametri tenendo conto del solo trattamento di dati personali, non rilevando il controllo, l’influenza o il ruolo decisorio dell’entità in altri contesti organizzativi, seppur connessi al trattamento stesso. Allo stesso tempo, il ruolo di titolare potrebbe essere differentemente assegnato tenuto conto del trattamento nel suo complesso o considerate le singole attività che ne fanno parte.

La novità delle Linee guida rispetto all’antecedente Opinion riguarda i chiarimenti resi in relazione alla contitolarità del trattamento, scenario enucleato dall’art. 26 del Regolamento, per cui è stata disposta apposita disciplina.  

La contitolarità può assumere la forma di una comune decisione presa da due o più entità o del risultato di decisioni convergenti di due o più entità per quanto riguarda gli scopi e i mezzi essenziali del trattamento.

Le decisioni possono essere considerate convergenti su finalità e mezzi se sono complementari e necessarie per il trattamento, in modo tale da avere un impatto tangibile sulla determinazione degli scopi e dell’elaborazione. Per identificare le decisioni convergenti in questo contesto è necessario chiedersi, afferma il Comitato, se il trattamento sarebbe possibile senza la partecipazione di entrambe le parti, oppure se il trattamento posto in essere da ciascuna parte sia inseparabile, cioè indissolubilmente legato al trattamento dell’altra parte.

Da tenere distinta l’ipotesi di gestione congiunta di una piattaforma: l’utilizzo di un sistema o di un’infrastruttura comune di elaborazione dati non porta a qualificare le parti coinvolte come contitolari del trattamento, in particolare quando le operazioni di trattamento da queste effettuate sono separabili e possono essere eseguite anche da una sola parte senza l’intervento dell’altra, o ancora le parti presentino scopi propri (il mero vantaggio commerciale per entrambe le parti coinvolte non è sufficiente per qualificare il trattamento in contitolarità).

Con riguardo alla figura del responsabile del trattamento, il Comitato ha indicato due condizioni di base per la ricorrenza della sua qualifica:

            a) essere un’entità separata dal titolare del trattamento;

            b) svolgere il trattamento dei dati personali per conto del titolare.

Per quanto concerne la prima delle due condizioni, il Comitato chiarisce che il responsabile può essere definito per esclusione dal momento che le risorse coinvolte nel trattamento ed appartenenti all’organizzazione del titolare coincidono con il titolare stesso, o comunque potranno essere definite quali persone autorizzate o designate.

Il trattamento deve poi essere svolto a beneficio del titolare del trattamento: il responsabile deve “servire” l’interesse del titolare, ricorrendo lo schema della delega di funzioni.

Fatte queste premesse, le Linee guida precisano che il ruolo del responsabile deriva dalle sue attività concrete, tenuto conto di uno specifico contesto. Qualora il servizio fornito non sia specificamente finalizzato al trattamento di dati personali o qualora il trattamento non costituisca un elemento chiave del servizio, il fornitore di servizi potrebbe trovarsi nella posizione di determinare autonomamente le finalità e i mezzi di tale trattamento, potendo dunque essere considerato titolare autonomo del trattamento (l’esempio è qui quello della piattaforma per servizi di transfert di cui si serve l’azienda per garantire gli spostamenti sul territorio dei propri dipendenti e collaboratori).

Nelle ipotesi in cui il trattamento dei dati non sia strettamente connesso al servizio, in ogni caso, le Linee guida suggeriscono ai titolari di tenere in debita considerazione il potere di controllo concretamente esercitato, tenendo conto anche della natura, dell’ambito, del contesto e delle finalità del trattamento.

Conseguenze dell’attribuzione dei differenti ruoli

La seconda parte delle Linee guida verte sugli adempimenti previsti e connessi a seguito della definizione dei ruoli della privacy. Senza dilungarsi sulla nota disciplina normativa dell’accordo di nomina a responsabile e del contratto di contitolarità, si riportano nel seguito gli aspetti salienti delle riflessioni da ultimo svolte dal Comitato.

Con riferimento alla nomina del responsabile esterno, il Comitato, rammentando come il titolare abbia il dovere di ricorrere solo a responsabili che forniscono garanzie sufficienti per implementare misure tecniche e organizzative adeguate, equipara tale verifica preliminare ad una vera e propria valutazione del rischio, durante la quale il titolare è tenuto a prendere in considerazione i) le conoscenze specialistiche del processore (ad es. competenza tecnica in materia di misure di sicurezza e violazioni dei dati), ii) l’affidabilità del fornitore e iii) le risorse in suo possesso. Anche la reputazione del responsabile sul mercato può essere, a dire del Comitato, un fattore rilevante ai fini della valutazione.

Di più: il Comitato precisa che l’obbligo di ricorrere a responsabili “che offrano garanzie sufficienti” è un obbligo “continuo”, con la conseguenza che il titolare è tenuto a valutare il rischio anche successivamente alla stipulazione del data processing agreement, anche mediante apposite ispezioni presso il responsabile.

Sulla forma dell’atto o contratto di designazione del responsabile del trattamento rileva quanto affermato con riferimento ai contratti predisposti unilateralmente.

In particolare, quale o quali parti redigeranno il contratto può dipendere da diversi fattori, tra cui la posizione delle parti sul mercato e il potere contrattuale, la loro competenza tecnica, nonché l’accesso ai servizi legali, o anche la prassi del ricorso a termini e condizioni standard, ma lo squilibrio del potere contrattuale, afferma l’EDPB, non deve tradursi nell’automatica accettazione da parte del titolare di clausole e termini contrattuali non conformi alla normativa, né può esonerarlo dai suoi obblighi in materia di protezione dei dati. Inoltre, qualsiasi modifica al data processing agreement proposta nel corso del rapporto contrattuale deve essere direttamente notificata al titolare ed approvata da questo, non potendo la semplice pubblicazione sul sito web o la mera comunicazione via mail sostituirne l’informazione e l’approvazione.

Quanto al contenuto dell’atto o contratto di nomina del responsabile, è interessante riportare quanto osservato in relazione alla previsione di cui al paragrafo 2 dell’art. 28 GDPR, a mente del quale il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento.

Osserva il Comitato che il mancato riscontro entro il periodo di tempo previsto per l’approvazione viene in alcuni casi interpretato come implicita autorizzazione. In realtà, e con riferimento ad entrambi gli scenari della specifica o generale autorizzazione, il contratto dovrebbe includere i dettagli relativi alle modalità di comunicazione dell’approvazione/obiezione, nonché disciplinarne l’eventualità del ritardo.

Infine, il riferimento della norma all’imposizione degli “stessi” obblighi del responsabile anche al sub-responsabile nominato dovrebbe essere interpretato in modo funzionale piuttosto che formale: afferma il Comitato che non è necessario che il contratto contenga esattamente le stesse parole usate nel contratto tra titolare e responsabile, essendo sufficiente che sul piano fattuale vengano garantiti gli stessi obblighi.

Avv.ti Vincenzo Colarocco e Chiara Benvenuto

“Invita un amico”: lecito o illecito?

L’autorità belga per la protezione dei dati ha inflitto una multa di 50.000 euro ad un fornitore di social media per il trattamento illecito di dati personali in relazione alla funzione “invite-a-friend” offerta sulla sua piattaforma, delineando le condizioni per l’utilizzo e concludendo poi con delle precisazioni riguardanti l’invio di e-mail finalizzate all’acquisizione del consenso per attività di marketing.
 
La funzione “invita un amico”

La funzione mira ad aumentare continuamente la base di utenti incoraggiando sia gli utenti esistenti che i nuovi iscritti ad invitare i loro amici sulla piattaforma di social media. Nel caso in oggetto, il provider sosteneva che la funzionalità “invita un amico” implementata fosse legittima e che non rientrava nel campo di applicazione del GDPR in virtù della cosiddetta “esenzione domestica” menzionata all’interno Considerando 18 del testo europeo, che consente a ciascuno di noi di elaborare dati personali (a titolo meramente esemplificativo, sui nostri amici e familiari) nel contesto della nostre vite private.

I rilievi

In primo luogo, l’utente che sceglie di utilizzare la funzione “invita un amico” non può dare una forma valida di consenso al trattamento dei dati personali del destinatario. Il Garante ha precisato che solo l’interessato i cui dati personali sono trattati può validamente acconsentire al trattamento (salvo eccezioni specifiche come il consenso dei genitori). Nel caso in cui i dati personali forniti riguardino una terza parte, tale terza parte deve dare il proprio consenso in conformità alle condizioni di cui agli articoli 4, n.11 e 7 del GDPR.

Ci si chiede se l’interesse legittimo del titolare possa costituire una valida base giuridica per il trattamento dei dati degli utenti.

Tale base giuridica sarebbe soddisfatta solo se:

  1. gli interessi perseguiti dal trattamento, possono essere riconosciuti come legittimi (“purpose test“);
  2. il trattamento previsto è necessario ai fini del trattamento stesso (“necessity test“);
  3. la ponderazione di questi interessi rispetto ai diritti e alle libertà fondamentali delle persone interessate dalla protezione dei dati pesa a favore del responsabile del trattamento o di un terzo (“balancing test“).

Nel caso di specie, il Garante ha ritenuto il consenso condicio sine qua non, in quanto gli interessati non si sarebbero potuti ragionevolmente aspettare un simile ed invasivo trattamento di dati.

L’invio di e-mail di richiesta del consenso a ricevere comunicazioni commerciali

Il Garante ha precisato che non è lecito, ai sensi del GDPR, inviare una e-mail finalizzata esclusivamente a chiedere il consenso per l’invio successivo di comunicazioni commerciali. Per l’invio di e-mail di marketing, infatti, è necessario il consenso dell’interessato, che deve essere preventivo rispetto al trattamento dei dati.

Si rammenta altresì che anche il Garante privacy italiano, con il provvedimento del 22 giugno 2016, aveva già affermato il principio secondo cui il trattamento dei dati dell’interessato tramite invio di comunicazioni allo scopo di chiedere il consenso per finalità di marketing è un trattamento per finalità di marketing ipso facto, per cui è necessario ottenere il relativo consenso.

Conclusioni

Essendo frutto della cooperazione dell’Autorità belga con altre 23 autorità di controllo di 16 Stati membri (Italia compresa), i principi stabiliti nella pronuncia hanno valenza generale sul territorio dell’Unione.

Sulla base delle constatazioni di mancata trasparenza e di motivazioni giuridiche inopportunamente documentate e giustificate, il Garante belga ha imposto un’ammenda di 50.000 euro. Per evitare una simile sanzione, il social network avrebbe dovuto riflettere attentamente sulla base giuridica da invocare per le suddette attività di trattamento e predisporre idonee informative in ossequio agli articoli 13 e 14 del GDPR, assicurando il rispetto di tutti gli elementi a cui si fa riferimento in tali disposizioni.

Avv. Vincenzo Colarocco
 

Google, class action per violazione privacy durante la navigazione anonima

Una proposta di class action depositata in California chiede a Google 5 miliardi di dollari. L’azienda è accusata di aver illecitamente raccolto i dati di milioni di utenti, violandone invero la loro privacy, durante la modalità di navigazione privata, la quale consente di navigare in internet senza che vengano archiviate informazioni sensibili.
 
I fatti

In riferimento alla nota risorsa di “navigazione privata” in internet offerta dall’azienda di Mountain View, è stata depositata una proposta di class action davanti al tribunale federale di San Jose, in California. Si tratterebbe, se confermato, di una violazione della legge sulla privacy. In particolare, stando al report di Reuters, Google è accusata di raccogliere informazioni (si parla di rete di amicizie, hobby, cibi preferiti, abitudini di acquisto e persino inclinazioni sessuali) attraverso Google Analytics, Google Ad Manager ed altre applicazioni, nonché plug-in dei siti web, e ancora con “app” per smartphone, effettuando il tracking degli utenti, in assenza di adeguata informativa e di un valido consenso.

La difesa

Quanto alla dichiarazione rilasciata dal portavoce di Google, Jose Castaneda, viene reso esplicito come in siffatta ipotesi di navigazione in incognito, lo stesso Google Chrome dia la possibilità di navigare in internet senza che le attività siano salvate sul browser e sul dispositivo.

Contestualmente poi, lo stesso colosso del web, attraverso il portavoce suddetto, ha affermato che “Come diciamo chiaramente ogni volta che apri una nuova scheda in incognito, i siti Web potrebbero essere in grado di raccogliere informazioni sulla tua attività di navigazione”, dunque rendendosi certamente opportune e necessarie le azioni dell’informazione sulle finalità e modalità del trattamento, nonché della raccolta del consenso espresso dell’interessato.

Le possibili ripercussioni

Inoltre, sempre secondo quanto riferito dall’agenzia Reuters, l’eventualità di una soccombenza di Google in giudizio comporterebbe una perdita corrispondente a quasi il 6% del suo fatturato globale annuo, superiore invero alle sanzioni previste per specifiche violazioni del GDPR, fra cui rientra il caso di specie e per le quali, ai sensi 83, par. 5, GDPR sono previste sanzioni fino 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Avv. Vincenzo Colarocco

L’EDPB si pronuncia sulle possibili limitazioni ai diritti degli interessati

Il Comitato europeo per la protezione dei dati (EDPB) si è pronunciato sul tema della disciplina dei diritti degli interessati in occasione dello stato di emergenza negli Stati membri e sul principio di proporzionalità in occasione del bilanciamento tra interessi contrapposti ed ha annunciato che nei prossimi mesi emanerà linee guida sull’attuazione dell’articolo 23 del GDPR.
 
I diritti degli interessati

Il Comitato europeo per la protezione dei dati (EDPB) si è pronunciato sul tema della disciplina dei diritti degli interessati in occasione dello stato di emergenza negli Stati membri, rispondendo alla lettera indirizzata dalle organizzazioni Unione per le libertà civili per l’Europa, Access Now ed Unione ungherese per le libertà civili (HCLU).

Con la loro lettera, le organizzazioni hanno invitato il Comitato a pronunciarsi sul decreto del governo ungherese del 4 maggio scorso che ha limitato l’esercizio dei diritti previsti dagli artt. 15 ss. del GDPR in occasione dei trattamenti di dati personali posti in essere da parte di enti pubblici e privati ai fini della lotta alla diffusione del  COVID-19.

I chiarimenti dell’EDPB

L’EDPB ha chiarito che la protezione dei dati personali deve essere sempre garantita anche in occasione dell’adozione di misure di emergenza, contribuendo così al rispetto dei valori generali della democrazia, dello Stato di diritto e dei diritti fondamentali su cui si fonda l’Unione europea.

In particolare, viene chiarito che il GDPR, con le sue previsioni, consente già di strutturare una risposta efficace alla pandemia, anche mediante il trattamento dei dati personali. L’articolo 23 consente di limitare, mediante una misura legislativa, la portata dei diritti degli interessati purché nel rispetto dei diritti e delle libertà fondamentali ed in una misura necessaria e proporzionata. Con l’occasione, l’EDPB ha annunciato che nei prossimi mesi emanerà linee guida sull’attuazione dell’articolo 23 del GDPR.

Avv. Chiara Benvenuto

Cookie & scrolling: arriva la fine dell’ idillio?

Il Comitato Europeo per la Protezione dei Dati ha fornito indicazioni specifiche volte a regolamentare il complesso rapporto tra il mondo dei cookie ed il relativo libero consenso degli utenti del web.

L’European Data Protection Board (EDPB) ha adottato il 4.5.2020 delle nuove linee guida in materia di consenso al trattamento di dati personali, evidenziando la necessità di fornire ulteriori chiarimenti in merito al tema dei cookie, in particolare dei c.d. “cookie wall” e del rapporto tra “scrolling” e acquisizione del consenso.

Con riferimento al primo punto, l’EDPB ha chiarito come risulti contrario ai principi del GDPR condizionare l’accesso al sito web al rilascio di apposito consenso da fornirsi mediante i c.d. “cookie wall”. Tali “muri” impedirebbero l’accesso al sito sino a quando l’interessato non accetti i cookie del caso o proceda, mediante le apposite impostazioni, alla scelta tra i cookie installati. In particolare, si otterrebbe un consenso non liberamente espresso qualora il titolare bloccasse la visibilità di tutti i contenuti della propria pagina web, rendendo agli utenti unicamente visibile la propria cookie policy e l’opzione “Accetta i cookie”, impedendo dunque di accedere al sito senza fornire tale accettazione.

Quanto al secondo tema di novità, rappresentato dal c.d. “scrolling”, l’EDPB ha chiarito come il consenso debba generalmente tradursi in una manifestazione inequivocabile di volontà da parte dell’interessato. Azioni come lo scrolling di una pagina web non soddisferanno in nessun caso, quindi, la necessità di un’azione chiaramente affermativa alla base del rilascio di un consenso. Inoltre, simili categorie di azioni potrebbero risultare difficilmente distinguibili da altre attività inerenti la navigazione e non connesse al trattamento dei dati personali, con estrema difficoltà per il titolare di ottenere un consenso univoco. In siffatte ipotesi, del resto, sarà difficile fornire all’utente la possibilità di revocare il consenso facilmente così come l’ha concesso.

Avv.ti Vincenzo Colarocco e Pietro Maria Mascolo

Fase 2: quali misure per il ritorno sui luoghi di lavoro?

Il 4 maggio è iniziata in Italia la “Fase 2”. A fronte dell’individuazione da parte del Governo degli specifici settori merceologici, quali misure sono tenuti ad adottare i datori di lavoro per consentire il ritorno in sicurezza? A seguito dell’aggiornamento del “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” abbiamo predisposto alcune FAQ per le aziende.

Il 24 aprile 2020 è stato aggiornato il Protocollo del 14 marzo (poi confluito nel DPCM del 26.4.2020 sub allegato 6), in vista dell’inizio della “Fase 2”. Difatti, a seguito del primo Protocollo, con DPCM del 10 aprile 2020, il Governo ha istituito un Comitato di esperti in materia economica e sociale. Il Comitato ha elaborato le misure necessarie a fronteggiare l’emergenza e per una ripresa graduale nei diversi settori delle attività sociali, economiche e produttive, e ha tracciato le linee guida per l’aggiornamento del predetto protocollo sulla sicurezza dei lavoratori. Il nuovo Protocollo recepisce il documento tecnico sulla possibile rimodulazione delle misure di contenimento del contagio nei luoghi di lavoro e strategie di prevenzione reso disponibile dall’INAIL il 23 aprile 2020.

Le attività produttive individuate dai provvedimenti emanati possono fare ritorno sui luoghi di lavoro purché sia attuato il massimo utilizzo di modalità di lavoro agile (smart working) per le attività che possono essere svolte al proprio domicilio o in modalità a distanza. I datori di lavoro, inoltre, dovranno incentivare le ferie e i congedi retribuiti per i dipendenti nonché gli altri strumenti previsti dalla contrattazione collettiva, oltre a sospendere le attività dei reparti aziendali non indispensabili alla produzione. Infine, dovranno applicare protocolli di sicurezza anti-contagio che prevedano l’adozione di strumenti di protezione individuale in ogni caso in cui non sia possibile garantire il distanziamento sociale.

Per fare chiarezza sulle misure da adottare per un ritorno in sicurezza, il nostro Studio ha predisposto apposite FAQ.

Si segnala, inoltre, come in data 4 maggio 2020 il Garante per la protezione dei dati personali abbia fornito chiarimenti anche in relazione al trattamento di dati personali posto in essere per finalità di prevenzione e contenimento del contagio in ambito lavorativo, pubblico e privato, con apposite FAQ.

Avv.ti Vincenzo Colarocco e Chiara Benvenuto

EventBot, il nuovo malware che minaccia i conti correnti: come difendersi?

Bypassa l’autenticazione a due fattori e accede a pagine riservate. Si tratta di un trojan che per le sue capacità di evolversi rapidamente sembra essere sempre in grado di hackerare i sistemi.

EventBot è un trojan che, abusando delle funzionalità di accessibilità di Android, ruba i dati degli utenti dalle applicazioni finanziarie e legge i messaggi SMS per consentire al malware di bypassare l’autenticazione a due fattori e accedere alle pagine riservate del mobile banking. In questo modo, EventBot oltre a raccogliere informazioni finanziarie e bancarie, dati personali e password, consente all’aggressore di accedere direttamente ai conti bancari degli utenti.

Sembra che il malware abbia come obiettivo gli utenti di oltre 200 diverse applicazioni finanziarie, tra cui rientrano Paypal Business, Revolut, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase, Paysafecard.

Il gruppo di studio Cybereason Nocturnus segue EventBot da tempo e ha rilevato la peculiare capacità dello stesso di evolversi rapidamente: dall’inizio di marzo 2020, il team ha riscontrato quattro versioni diverse del malware.

Come difendersi?

In questi casi, le misure da prendere non sono mai sufficienti. Tuttavia, qualche consiglio potrebbe risultare utile. Si potrebbe cominciare con il mantenere il proprio dispositivo mobile sempre aggiornato alle ultime versioni; tenere sempre acceso Google Play Protect; evitare di scaricare applicazioni mobili da fonti non ufficiali o non autorizzate; utilizzare soluzioni di rilevamento delle minacce mobili, per una maggiore sicurezza.

Si raccomanda comunque di utilizzare sempre un pensiero critico quando si scaricano le applicazioni per dispositivi mobili, valutando se è il caso di dare tutti i permessi che vengono richiesti ed analizzando anche la privacy policy.

Avv.ti Vincenzo Colarocco e Marta Cogode

Didattica a distanza ai tempi del Covid-19: l’istruzione non si ferma, ma attenzione ai dati dei minori e agli attacchi malevoli

Avv. Vincenzo Colarocco

L’emergenza causata dal diffondersi del Covid-19, presta il fianco a soggetti malintenzionati che, facendo leva sull’attuale situazione, fanno girare e-mail e pec dubbie che a volte contengono dei veri e propri malware o, addirittura, hackerano i sistemi.

È proprio delle ultime ore la notizia dell’attacco alle piattaforme didattiche e ai registri online gestiti da Axios, che in poche ore sono stati messi letteralmente fuori uso.

Per tali ragioni, se, come vedremo, da un lato l’utilizzo di queste piattaforme è senz’altro utile oltre che consigliato, dall’altro impone l’adozione di ulteriori e più rigide misure di sicurezza, anche atte a limitare errori umani.

Secondo quanto previsto dal Dpcm dell’8 marzo 2020, i dirigenti scolastici attivano, nel più ampio esercizio delle proprie prerogative, per tutta la durata della sospensione delle attività didattiche nelle scuole, modalità di didattica a distanza, con particolare attenzione alle specifiche esigenze degli studenti con disabilità (art. 2 lett. m). Previsione similare è contenuta nello stesso decreto per le Università per le quali le attività didattiche o curriculari possono essere svolte con modalità a distanza dalle stesse individuate (art. 2 lett. n).

Il MIUR, con la nota dell’8 marzo, ha chiarito che la didattica a distanza deve garantire, quanto più possibile, la continuità didattica che non consiste nella mera trasmissione di materiali ma si sostanzia in un insieme di attività che vanno “dalla registrazione delle lezioni, all’utilizzo di piattaforme per la didattica a distanza, presso l’istituzione scolastica, presso il domicilio o altre strutture”.

Anche il Garante per la protezione dei dati personali, con il Provvedimento del 26 marzo 2020, n. 64, ha fornito delle prime indicazioni utili per la didattica a distanza dal punto di vista privacy.

 In particolare, l’Autorità ha avuto modo di chiarire che gli istituti scolastici “dovranno conformarsi ai principi di privacy by design e by default, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati (artt. 24 e 25 del Regolamento).Varie piattaforme o servizi on line permettono di effettuare attività di didattica a distanza, consentendo la configurazione di “classi virtuali”, la pubblicazione di materiali didattici, la trasmissione e lo svolgimento on line di video-lezioni, l’assegnazione di compiti, la valutazione dell’apprendimento e il dialogo in modo “social” tra docenti, studenti e famiglie. Alcune piattaforme offrono anche molteplici ulteriori servizi, non sempre specificamente rivolti alla didattica. Tra i criteri che devono orientare la scelta degli strumenti da utilizzare è, dunque, opportuno includere, oltre all’adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, anche le garanzie offerte sul piano della protezione dei dati personali (artt. 5 e ss. del Regolamento).

Con riferimento al consenso è stato chiarito che le istituzioni scolastiche non devono richiedere il consenso per la gestione dei dati personali degli interessati trattati per il tramite delle piattaforme digitali non tanto perché era già stato rilasciato al momento dell’iscrizione quanto, piuttosto, perché è connesso all’esecuzione di un contratto di cui l’interessato è parte ovvero all’esecuzione di un compito d’interesse pubblico (art. 6 lett. b) ed e) del Regolamento).

Considerazioni diverse, invece, andrebbero fatte qualora si vogliano utilizzare dati particolari, ad esempio dati biometrici, per permettere tanto agli studenti che stanno per concludere il liceo quanto agli studenti universitari di sostenere gli esami da remoto. In questi casi il trattamento del dato biometrico dello studente è legittimato dall’acquisizione del suo consenso, ai sensi e per gli effetti dell’art. 9 lett. a) del Regolamento.

 “Le istituzioni scolastiche sono invece tenute, qualora non lo abbiano già fatto, ad informare gli interessati del trattamento secondo quanto previsto dagli artt. 13 e 14 del Regolamento UE 2016/679”. Così la nota del MIUR sull’informativa. In linea con quanto previsto dalla normativa vigente gli istituti scolastici sono tenuti a informare i propri studenti.

Il Garante Privacy ha avuto modo di precisare che “la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”.

Cyber security: l’AgID mette a disposizione il tool di valutazione del rischio cyber

Avv. Vincenzo Colarocco

L’Agenzia per l’Italia Digitale (AgID) è l’agenzia tecnica della Presidenza del Consiglio che si occupa di presidiare la realizzazione degli obiettivi dell’Agenda digitale italiana e promuovere l’utilizzo delle tecnologie dell’informazione e della comunicazione nell’ottica dell’innovazione e dello sviluppo economico. In particolare, l’AgID supporta e coordina le pubbliche amministrazioni nell’esecuzione del progetto di digitalizzazione di cui al Piano Triennale per l’informatica della P.A.. Nell’esercizio della propria funzione, l’AgID ha sviluppato e messo a disposizione delle P.A. un tool di autovalutazione per il calcolo del rischio cyber.

[Immagine estratta dal sito https://www.sicurezzait.gov.it/cyber/]

Il servizio, conforme al Regolamento Generale sulla protezione dei dati ha l’obiettivo di fornire una prima e indicativa analisi dello stato di compliance in tema di cybersecurity, al solo scopo autovalutativo (pre-assessment), senza sostituirsi agli strumenti messi a disposizione dalle autorità competenti, anche alla luce del generale principio di accountability o responsabilizzazione del titolare del trattamento. È possibile accedere al tool previa autenticazione mediante SPID al sito https://www.sicurezzait.gov.it/cyber/.

Il Comitato europeo per la protezione dei dati modifica e COVID-19: in arrivo le Linee Guida

Avv. Vincenzo Colarocco

Il Comitato europeo per la protezione dei dati, con comunicato del 3 aprile 2020, ha annunciato l’inizio dei lavori per la predisposzione delle linee guida sui seguenti temi:

  1. i) uso dei dati di localizzazione e anonimizzazione dei dati;
  2. ii) trattamento dei dati sanitari per scopi scientifici e di ricerca e trattamento dei dati in occasione dello smart working. Le linee guida si propongono, tra le altre cose, di uniformare i trattamenti posti in essere in Europa, anche sotto gli aspetti delle basi giuridiche e dei principi applicabili.

In ragione di ciò durante la ventesima sessione plenaria del 7 aprile u.s., il Comitato ha assegnato ai suoi sottogruppi di esperti due mandati per l’elaborazione di orientamenti e linee guida in materia di:

  1. geolocalizzazione e altri strumenti di tracciamento nel contesto dell’epidemia COVID-19;

2. elaborazione di dati sanitari a fini di ricerca nel contesto dell’epidemia COVID-19.