Articoli

TEST GDPR per settore bancario e finanziario: tutti bocciati

Avv. Vincenzo Colarocco

ImmuniWeb ha condotto una ricerca lo scorso 10 luglio sulla sicurezza dei dati gestiti dalle nostre banche. I risultati? Per nulla rassicuranti: il 97% delle più grandi banche sono a rischio di furto di dati online, e il 20% delle app di mobile banking contiene almeno una vulnerabilità di sicurezza ad alto rischio. In particolare tra le app esaminate, 85 non hanno superato il test di conformità al GDPR, 25 non sono protette da firewall, e 7 contengono vulnerabilità note e sfruttabili dagli hacker.

La situazione non migliora guardando al settore del Fintech. Immuniweb ha rivelato i dati in un nuovo report emesso il 20 agosto mettendo in evidenza che il 100% delle aziende ha problemi di sicurezza, privacy e conformità relativi ad applicazioni web, API e sotto-domini abbandonati o dimenticati. In questo ambito sono stati rilevati 8 siti web principali e 64 sotto-domini con almeno una vulnerabilità di sicurezza divulgata pubblicamente e sfruttabile a medio o alto rischio. Anche con il mobile i dati sono sconcertanti: il 100% delle applicazioni mobili contiene almeno una vulnerabilità di sicurezza a rischio medio, il 97% presenta almeno due vulnerabilità a rischio medio o alto. Il 56% dei back-end di app mobili presenta gravi configurazioni errate o problemi di privacy relativi alla insufficiente protezione della sicurezza del server web.

Come far crescere la fiducia di investitori e risparmiatori se il livello di allerta e di pericolo raggiunge i massimi livelli, non solo per i dati personali? È chiaro, infatti, che hackerare l’home banking permetterebbe a terzi sconosciuti di compiere operazioni con i soldi degli investitori attraverso la gestione del conto bancario e di altri servizi finanziari.

Youtube ha violato la privacy dei minori: si va al patteggiamento

Avv. Vincenzo Colarocco

Già dallo scorso anno, alcune associazioni americane a tutela della privacy avevano accusato Google per avere trattato illecitamente i dati degli utenti della piattaforma Youtube. Non una categoria di interessati qualunque quella che sarebbe stata danneggiata dal colosso della Silicon Valley: si sarebbe trattato, infatti, degli utenti minorenni fruitori dei video e degli altri contenuti messi a disposizione dal provider. Ebbene è di questi giorni la notizia che le accuse perpetrate non sarebbero state infondate: Google ha infatti dato avvio al patteggiamento con la Federal Trade Commission, autorità che avrebbe effettivamente accertato l’intervenuta violazione della normativa sulla privacy dei bambini, il Children’s Online Privacy Protection Act. Google ha davvero raccolto i dati ed altre informazioni personali di minori sotto i 13 anni senza il consenso dei genitori. La cifra per il patteggiamento va dai 150 ai 200 milioni di dollari e se l’accordo sarà approvato si tratterà della maggiore sanzione erogata dall’authority in procedimenti riguardanti i bambini. Se, da un lato, la sanzione mostra come le autorità americane stiano intensificando gli sforzi per mettere fine alle violazioni della privacy da parte delle aziende della Silicon Valley (si pensi a Facebook), dall’altro, le indiscrezioni sul patteggiamento hanno lasciato insoddisfatte le associazioni che hanno denunciato YouTube, convinte che la cifra non sia adeguata e non possa funzionare da deterrente per il futuro, che piuttosto suggerirebbero una multa di almeno mezzo miliardo di dollari. Il patteggiamento – che potrebbe dare avvio ad una serie di altri casi analoghi di patteggiamento per siti o app in violazione – dovrebbe essere annunciato con la fine del mese di settembre 2019.

Risarcimento danni per violazione del GDPR

Avv. Vincenzo Colarocco

Il trattamento dei dati personali è civilisticamente qualificabile quale attività pericolosa con il conseguente obbligo in capo a colui che tale attività effettui di risarcire all’interessato tanto i danni patrimoniali, quanto i danni non patrimoniali cagionati in conseguenza del trattamento. Il quadro delineato dall’esame dell’art. 82 del Regolamento evidenzia l’importanza di disciplinare le responsabilità del titolare e del responsabile del trattamento. Trattasi di una responsabilità propria che può essere imputata solo a coloro che assumono una determinata qualifica soggettiva. Il titolare del trattamento diventa responsabile per il solo fatto di “partecipare al trattamento” mentre il responsabile è vincolato solo dalla violazione dei suoi obblighi specifici se agisce al di fuori o in contrasto con le legittime istruzioni del titolare del trattamento.

Il regime di responsabilità civile elaborato dal Regolamento europeo prevede per il titolare e il responsabile del trattamento il diritto al risarcimento del danno a favore dell’interessato che abbia subito un qualsiasi danno materiale o immateriale causato da una violazione del Regolamento: questi possono derivare da trattamenti aventi ad oggetto “discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo […]; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche […]; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti personali, in particolare mediante la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento […]; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”.

Fra i danni risarcibili rientrano tutti quelli subiti, quindi economici ma anche immateriali, derivanti dalle conseguenze dannose che si siano realizzate per un effetto di un illecito trattamento dei dati: infatti, la natura non patrimoniale del danno non esclude a priori che possano generarsi danni aventi carattere della patrimonialità. Orbene, se l’interessato vorrà ottenere il risarcimento del danno subito dovrà provare: i) l’esistenza del danno; ii) l’esistenza di una condotta che viola il GDPR; ed iii) il nesso causale.

Secondo quanto stabilito, infatti, dall’art. 82 GDPR, l’interessato, per conseguire un pieno ed effettivo ristoro del danno subito, qualora si ritenga leso nei propri diritti da un trattamento illecito, potrà rivolgersi indifferentemente tanto al titolare, quanto al responsabile del trattamento. E potrà farlo, in entrambi i casi, per l’intero ammontare del danno.

Trasparenza: linee guida EDPB in materia di videosorveglianza

Avv. Vincenzo Colarocco

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato il 10 giugno 2019 le linee-guida n. 3/2019 sul trattamento dei dati in materia di videosorveglianza che chiariscono in quali termini il regolamento generale sulla protezione dei dati si applichi al trattamento dei dati personali quando si utilizzano dispositivi video, e mirano a garantire l’applicazione coerente del GDPR in materia.
Brevemente, con riferimento all’informativa da rendere agli interessati viene confermata la struttura a due livelli: informativa sintetica (il cartello) e informativa completa (consultabile ad esempio sul sito internet). Quanto al cartello questo deve essere posizionato nei pressi della telecamera e deve contenere tutte le informazioni essenziali richieste dal GDPR. Di seguito l’esempio della nuova versione del cartello informativo fornito dalle stesse linee guida.

Bulgaria: arrivano le sanzioni del Garante Privacy per due violazioni di dati

Avv. Vincenzo Colarocco

A pochi giorni di distanza, l’Autorità bulgara per la protezione dei dati personali, potrebbe emettere due importanti sanzioni per la violazione dei dati degli utenti.

Nel primo caso si tratta di una sanzione rivolta ad una delle banche del gruppo ungherese OTP, la DSK Bank, per un importo corrispondente a più di mezzo milione di euro. A fronte del data breach che ha colpito 33.492 clienti ed a causa del quale sono state divulgate informazioni quali nominativi completi, copie di carte d’identità, indirizzi, numeri di conto e, addirittura, dati relativi ad atti di proprietà di persone che avevano preso prestiti dall’istituto bancario, il Garante, ha intrapreso un’indagine. Sebbene, la banca abbia affermato che i propri sistemi in tale occasione non sono risultati compromessi, essendosi trattato di furto di dati non digitali, l’Autorità ha dichiarato che in caso di accertata omessa adozione delle misure tecniche e organizzative adeguate per garantire la riservatezza dei clienti, prescritte agli artt. 32 e ss. del GDPR, l’istituto di credito incorrerebbe nelle sanzioni previste dalla normativa sui dati.

Il secondo caso, invece, riguarda una sanzione da emettere nei riguardi dell’Agenzia Nazionale delle Entrate.

A dichiararlo ad una emittente televisiva è il presidente del Garante, Ventsislav Karadjov, il quale ha spiegato le motivazioni che giustificherebbero la somma stimata in 2,6 milioni di euro. Questi ha spiegato che la commissione ha tenuto conto delle responsabilità dell’agenzia fiscale nel denunciare una intervenuta violazione di dati e contattare le persone interessate, sottolineando che quest’ultima avrebbe minimizzato rispetto al rischio di furti d’identità, e che non avrebbe adottato tutte le possibili cautele per prevenire l’attacco informatico.

Lo stato di salute della data protection: Comunicazione della Commissione europea al Parlamento e al Consiglio europeo del 24 luglio 2019

Avv. Vincenzo Colarocco

La Commissione europea ha pubblicato il 24.7.2019 una “Comunicazione al Parlamento europeo e al Consiglio” dal titolo “Data protection rules as a trust-enabler in the UE and beyond – taking stock” che delinea lo stato attuale della protezione dei dati nell’UE, con particolare attenzione all’impatto del GDPR (il framework dovrà essere completato dal regolamento e-Privacy, attualmente in corso di elaborazione legislativa).

La maggior parte degli Stati membri ha istituito il quadro giuridico necessario e il nuovo sistema che rafforza l’applicazione delle norme sulla protezione dei dati sta entrando in funzione. La Commissione ha rilevato una maggiore consapevolezza dei cittadini che esercitano sempre più spesso i loro diritti. Il quadro legislativo dell’UE in materia di protezione dei dati è diventato caposaldo del progetto europeo di innovazione della società civile.

Il progetto europeo abbraccia le tematiche della sanità e della ricerca, dell’intelligenza artificiale, dei trasporti, dell’energia, delle politiche elettorali, della concorrenza e dell’applicazione della legge.

Pubblicato il modello del Garante privacy per la notifica del data breach

Avv. Vincenzo Colarocco

Il GDPR disciplina il data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. L’art. 33 del Regolamento impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. La notifica ha la funzione di allertare l’autorità e consentire la predisposizione di misure di tutela immediate ai soggetti coinvolti.

Qui il modello predisposto dal Garante privacy per la notifica del data breach.

FaceApp: molto rumore per nulla?

Avv. Vincenzo Colarocco

FaceApp è un’applicazione per dispositivi mobili, prodotta da una società russa con sede a San Pietroburgo, la Wireless Lab, capace di modificare la foto-ritratto scattata dall’utente in un’immagine invecchiata, ringiovanita o trasformata in altro sesso.

Se, da un lato, la FaceApp mania impazza, complice anche l’abuso di molti influencer, dall’altro, il dibattito sull’applicazione si fa sempre più fervido. Lo sviluppatore americano Joshua Nozzi, con un tweet, ha accusato la Wireless Lab di raccogliere dati senza il consenso degli utenti, infuocando in questa maniera l’opinione pubblica. “Be careful with FaceApp” scriveva Nozzi “it immediately uploads your photos without asking, whether you chose or not”.

A destare preoccupazione il fatto che le foto modificate dall’applicazione siano salvate su un server controllato dalla Wireless Lab, senza che la privacy policy e i termini e condizioni chiariscano, in maniera intellegibile e trasparente, finalità e tempo di conservazione delle stesse. Detto altrimenti, FaceApp non sembra essere GDPR compliant nonostante la normativa comunitaria, secondo il disposto dell’articolo 3 del Regolamento, debba trovare applicazione anche in questo caso.

Proprio a proposito di GDPR, dalla lettura della privacy policy dell’applicazione si può facilmente scoprire che:

  • non è indicato il Titolare del trattamento;
  • non si fa riferimento ai diritti riconosciuti agli interessati che utilizzano l’applicazione;
  • le finalità del trattamento sono espresse in modo generico;
  • si comunica vagamente che ai dati dell’utente potranno accedere anche le società affiliate, senza indicare con precisione i motivi. In particolare, si legge che i dati potranno essere utilizzati dalle affiliate per migliorare i loro servizi, senza spiegare quali siano.

Sembra, infatti, che con l’utilizzo di FaceApp si conceda una licenza perpetua, irrevocabile, non esclusiva, esente da diritti, a livello mondiale, trasferibile per utilizzare, riprodurre, modificare, adattare, pubblicare, il contenuto caricato dall’utente.

Le gravi lacune dell’informativa, quindi, non comportano solo una violazione dei principi di trasparenza e correttezza dell’informazione resa all’interessato ma implicano, anche, la negazione dei diritti di cui egli stesso è titolare.

Servizio divertente? Probabile. Necessità di nuove verifiche sull’uso dei dati? Assodato. Agli utenti non resta altro che capire se qualche risata possa dirsi sufficiente per mettere a repentaglio la propria immagine e  non solo.

L’Autorità di controllo tedesca vieta l’uso di Office 365 nelle scuole

Avv. Vincenzo Colarocco

Il commissario distrettuale per la protezione dei dati e la libertà di informazione (HBDI) dello stato dell’Assia (Germania) ha inibito l’uso di Microsoft Office 365 nelle scuole in ragione della scarsa garanzia sulla protezione dei dati personali rappresentata dal servizio.

Già nell’agosto 2017, a seguito di un’indagine sul cloud di Microsoft, la protezione dei dati veniva stimata come insufficiente secondo le regole comunitarie, poiché si appoggiava a server negli Stati Uniti, con ogni conseguenza sul trasferimento dei dati all’estero (si consideri, infatti, come ad oggi il Privacy Shield – decisione di adeguatezza sugli USA – seppur vigente sia al vaglio delle istituzioni comunitarie per la sua rinnovazione).

Nonostante Microsoft abbia dato evidenza di aver spostato i propri server in Europa, il garante tedesco ha comunque scelto di proibire il ricorso a tale servizio proprio in ragione del difetto di trasparenza del Cloud Act: tale normativa consente, infatti, alle autorità statunitensi, alle forze dell’ordine ed alle agenzie di intelligence di acquisire dati informatici dagli operatori di servizi di cloud computing a prescindere dalla loro collocazione.

Le perplessità sulla compliance del Cloud Act alla normativa europea non giungono solo dalla Germania, ma anche dal Comitato europeo per la protezione dei dati, che ha inviato una lettera di risposta alla commissione per le libertà civili, la giustizia e gli affari interni (LIBE) del Parlamento europeo con una valutazione giuridica sull’impatto Cloud Act degli Stati Uniti sul quadro giuridico europeo della protezione dei dati.

Si resta in attesa di conoscere l’impostazione che intenderanno assumere le autorità di controllo degli altri Paesi membri, le quali, si ricorda, in forza del principio di assistenza e cooperazione introdotto dal GDPR, dovranno motivare compiutamente in caso di avvisi contrastanti ed opposti dal parere tedesco.

Il Vademecum del Garante Privacy per il trattamento dei sati particolari

Avv. Vincenzo Colarocco

A conclusione della consultazione pubblica che è stata avviata lo scorso dicembre, il Garante per la protezione dei dati personali ha adottato il provvedimento n. 146 del 5 giugno 2019 -in fase di pubblicazione sulla Gazzetta Ufficiale- contenente gli obblighi che dovranno essere rispettati da un numero elevato di soggetti –pubblici e privati- appartenenti a diversi settori per poter trattare categorie particolari di dati personali come quelli idonei a rivelare lo stato di salute, le opinioni politiche, l’etnia, l’orientamento sessuale, ecc.

Le prescrizioni riguardano il trattamento di categorie particolari di dati:

  • nei rapporti di lavoro (aut. gen. n. 1/2016);
  • da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (aut. gen. n. 3/2016);
  • da parte degli investigatori privati (aut. gen. n. 6/2016);
  • relative al trattamento dei dati genetici (aut. gen. n. 8/2016);
  • relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica (aut. gen. n. 9/2016).

Il provvedimento adottato dall’Autorità adegua la normativa nazionale al Regolamento UE 2016/679, del Codice privacy, così come modificato dal D.lgs. 101/2018 e tiene contro dei contributi più significativi e pertinenti inviati dai partecipanti alla consultazione.