Articoli

FaceApp: molto rumore per nulla?

Avv. Vincenzo Colarocco

FaceApp è un’applicazione per dispositivi mobili, prodotta da una società russa con sede a San Pietroburgo, la Wireless Lab, capace di modificare la foto-ritratto scattata dall’utente in un’immagine invecchiata, ringiovanita o trasformata in altro sesso.

Se, da un lato, la FaceApp mania impazza, complice anche l’abuso di molti influencer, dall’altro, il dibattito sull’applicazione si fa sempre più fervido. Lo sviluppatore americano Joshua Nozzi, con un tweet, ha accusato la Wireless Lab di raccogliere dati senza il consenso degli utenti, infuocando in questa maniera l’opinione pubblica. “Be careful with FaceApp” scriveva Nozzi “it immediately uploads your photos without asking, whether you chose or not”.

A destare preoccupazione il fatto che le foto modificate dall’applicazione siano salvate su un server controllato dalla Wireless Lab, senza che la privacy policy e i termini e condizioni chiariscano, in maniera intellegibile e trasparente, finalità e tempo di conservazione delle stesse. Detto altrimenti, FaceApp non sembra essere GDPR compliant nonostante la normativa comunitaria, secondo il disposto dell’articolo 3 del Regolamento, debba trovare applicazione anche in questo caso.

Proprio a proposito di GDPR, dalla lettura della privacy policy dell’applicazione si può facilmente scoprire che:

  • non è indicato il Titolare del trattamento;
  • non si fa riferimento ai diritti riconosciuti agli interessati che utilizzano l’applicazione;
  • le finalità del trattamento sono espresse in modo generico;
  • si comunica vagamente che ai dati dell’utente potranno accedere anche le società affiliate, senza indicare con precisione i motivi. In particolare, si legge che i dati potranno essere utilizzati dalle affiliate per migliorare i loro servizi, senza spiegare quali siano.

Sembra, infatti, che con l’utilizzo di FaceApp si conceda una licenza perpetua, irrevocabile, non esclusiva, esente da diritti, a livello mondiale, trasferibile per utilizzare, riprodurre, modificare, adattare, pubblicare, il contenuto caricato dall’utente.

Le gravi lacune dell’informativa, quindi, non comportano solo una violazione dei principi di trasparenza e correttezza dell’informazione resa all’interessato ma implicano, anche, la negazione dei diritti di cui egli stesso è titolare.

Servizio divertente? Probabile. Necessità di nuove verifiche sull’uso dei dati? Assodato. Agli utenti non resta altro che capire se qualche risata possa dirsi sufficiente per mettere a repentaglio la propria immagine e  non solo.

Il Vademecum del Garante Privacy per il trattamento dei sati particolari

Avv. Vincenzo Colarocco

A conclusione della consultazione pubblica che è stata avviata lo scorso dicembre, il Garante per la protezione dei dati personali ha adottato il provvedimento n. 146 del 5 giugno 2019 -in fase di pubblicazione sulla Gazzetta Ufficiale- contenente gli obblighi che dovranno essere rispettati da un numero elevato di soggetti –pubblici e privati- appartenenti a diversi settori per poter trattare categorie particolari di dati personali come quelli idonei a rivelare lo stato di salute, le opinioni politiche, l’etnia, l’orientamento sessuale, ecc.

Le prescrizioni riguardano il trattamento di categorie particolari di dati:

  • nei rapporti di lavoro (aut. gen. n. 1/2016);
  • da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (aut. gen. n. 3/2016);
  • da parte degli investigatori privati (aut. gen. n. 6/2016);
  • relative al trattamento dei dati genetici (aut. gen. n. 8/2016);
  • relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica (aut. gen. n. 9/2016).

Il provvedimento adottato dall’Autorità adegua la normativa nazionale al Regolamento UE 2016/679, del Codice privacy, così come modificato dal D.lgs. 101/2018 e tiene contro dei contributi più significativi e pertinenti inviati dai partecipanti alla consultazione.

Direttiva PSD2: l’autenticazione forte diventa d’obbligo

Avv. Vincenzo Colarocco

La Direttiva (UE) 2015/2366 del Parlamento e del Consiglio Europeo del 25 novembre 2015, entrata in vigore il 13 gennaio 2018, relativa ai servizi di pagamento nel mercato interno, meglio nota come Payment Services Directive 2 (PSD2) ha introdotto sostanziali novità nell’ambito dell’autenticazione del cliente di prestatori di servizi di pagamento.

A partire dal 14 settembre 2019 p.v., infatti, tutti gli Istituti Bancari operanti nel mercato Europeo dovranno adeguare le misure di autenticazione con l’obiettivo di aumentare la sicurezza online degli utenti. Più precisamente, viene introdotta la “Strong Customer Authentication” (nota anche come “Autenticazione Forte”) definita come “un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”. Questo sistema di sicurezza aggiuntivo permette di identificare e autenticare in maniera univoca il cliente, riducendo i rischi legati all’accesso ai propri conti online e all’esecuzione di operazioni fraudolente da parte di soggetti terzi non autorizzati. Pertanto, anche le piattaforme e-commerce dovranno implementare le proprie procedure di pagamento con sistemi di autenticazione innovativi quando il pagatore ad esempio, i) accede al suo conto di pagamento online; ii) avvia un’operazione di pagamento elettronico e/o iii) compie un’azione, attraverso un mezzo di comunicazione a distanza, che può comportare un rischio di frode nei pagamenti o qualsiasi altro uso fraudolento.

Fidelity card: senza il consenso è illecito inviare comunicazioni commerciali

Avv. Vincenzo Colarocco

Con una recente pronuncia del 20 giugno 2019, il Garante è tornato a ribadire l’illiceità del trattamento finalizzato all’invio di comunicazioni commerciali nei riguardi de possessori di carta fedeltà qualora il detto trattamento non trovi il proprio fondamento giuridico nel rilascio di un consenso libero e specificamente correlato alla descritta finalità.

Il caso di specie, che si sostanzia in accadimenti antecedenti all’applicazione del Regolamento UE 679/2016 (“GDPR”), prende le proprie mosse da alcune segnalazioni inviate all’Autorità Garante (delle quali, la prima datata 15 giugno 2017 e l’ultima 8 settembre 2017), con le quali un’interessata lamentava la ricezione di comunicazioni promozionali mediante posta elettronica da parte di Mediamarket s.p.a. (titolare del marchio “Mediaworld”, di seguito anche la “Società”), in assenza del necessario consenso e nonostante la reiterata opposizione manifestata dall’interessata medesimi ai sensi degli art. 7 ss. della versione previgente del Codice Privacy.

A seguito della conseguente istruttoria avviata dall’Autorità, emergeva principalmente che:

  1. i) i dati personali (e in particolare l’indirizzo di posta elettronica) relativi alla segnalante sarebbero stati raccolti in occasione della sottoscrizione, nel 2007 e nel 2009, da parte della stessa, di due carte fedeltà “Saturn” (brand riconducibile alla medesima Società e successivamente oggetto di un’operazione di re-branding a vantaggio del marchio “MediaWorld”);
  2. ii) la Società non aveva richiesto agli interessati, limitatamente al modulo a marchio “Saturn”, un consenso specifico per le finalità promozionali, bensì un unico consenso per tali finalità nonché per finalità diverse e riconducibili alla gestione contrattuale e paracontrattuale;

iii)       il sistema informativo della Società non era in grado di tracciare e gestire adeguatamente le richieste di esercizio dei diritti degli interessati, in particolare quello di opposizione al trattamento per finalità di marketing, e di interrompere, di conseguenza l’invio di comunicazioni commerciali.

In forza delle descritte evidenze il Garante osservava che, in assenza dell’acquisizione di uno specifico consenso per le finalità di marketing, i dati raccolti dal titolare per l’erogazione di alcuni servizi venivano di fatto piegati alla diversa finalità di invio di messaggi promozionali; tanto in violazione, oltre che del principio del consenso libero e specifico di cui agli artt. 23 e 130 del Codice, anche dei principi di correttezza e finalità del trattamento dei dati personali, ribaditi all’art. 5, par. 1 e 2, del GDPR.

A conclusione del provvedimento in analisi. il Garante ammoniva la Società a non utilizzare più, per finalità di marketing, i dati personali degli interessati raccolti mediante i moduli relativi alla fidelity card contestata. In più, vietava alla Società di trattare, per la medesima finalità, dati personali di eventuali interessati per i quali non fosse stato rilasciato un comprovato consenso libero e specifico, ingiungendola, inoltre, ad implementare misure tecniche ed organizzative al fine di garantire una corretta gestione delle richieste di esercizio dei diritti da parte degli interessati (in particolare per quanto attiene al diritto di opposizione di cui all’art. 21 del GDPR).

Corte di Giustizia dell’Unione: Facebook e siti corresponsabili per il pulsante «mi piace»

Avv. Vincenzo Colarocco

Il 29 luglio 2019, la Corte di Giustizia dell’Unione Europea ha emesso una importante sentenza in materia di data protection.

Con tale pronuncia, la Corte ha stabilito che il gestore di un sito Internet che scelga di inserire il pulsante “Like” fornito dalla piattaforma Facebook per consentire all’utente di esprimere il proprio gradimento in relazione ai prodotti proposti, può essere ritenuto congiuntamente responsabile con il social network della raccolta e della trasmissione dei dati personali dei visitatori a tale piattaforma.

La Corte si è pronunciata sulla vicenda che ha coinvolto la Fashion ID, impresa tedesca di abbigliamento di moda online, e la Verbraucherzentrale NRW, associazione tedesca di pubblica utilità per la tutela degli interessi dei consumatori. L’associazione in questione ha rilevato come la Fashion ID avrebbe trasmesso a Facebook Ireland i dati personali dei visitatori del proprio sito web senza il loro consenso ed in violazione degli obblighi di informazione previsti dalle disposizioni sulla protezione dei dati personali.

La Verbraucherzentrale NRW ha quindi proposto dinanzi al Landgericht Düsseldorf (tribunale regionale di Düsseldorf, Germania) un’ingiunzione contro la Fashion ID per porre fine a tale pratica.

La questione è giunta fino alla Corte lussemburghese, stante la decisione del Tribunale regionale superiore di Düsseldorf di sospendere il procedimento e di sottoporre alla CGUE le seguenti questioni pregiudiziali:

  • se la legittimazione attiva[1] ad agire per far valere i diritti degli interessati coinvolti nel trattamento spetti anche alle associazioni di categoria, e dunque alla Verbraucherzentrale NRW, associazione tedesca di pubblica utilità per la tutela degli interessi dei consumatori che ha dato inizio alla vertenza;
  • in caso di soluzione negativa della prima questione, se possa considerarsi “titolare del trattamento” un soggetto che, inserendo nel proprio sito web un codice di programma che consente al browser dell’utente di trasmettere dati personali a terzi, non può avere alcuna influenza su tale trattamento di dati[2];
  • se, in simili ipotesi, possa essere preso in considerazione l’interesse all’inserimento di contenuti di terzi o nell’interesse di terzi;[3]
  • in tale scenario, quale sia il soggetto tenuto alla raccolta del consenso al trattamento dei dati, nonché obbligato a rendere l’informativa.[4]

Con riferimento alla prima questione sollevata, la Corte di Giustizia ha affermato che, gli artt. 22-24 e i par. 3 e 4 dell’art. 28 della direttiva 95/46 non ostano ad una normativa nazionale che consenta alle associazioni di consumatori di promuovere un’azione giudiziaria nei confronti del presunto autore della violazione della protezione dei dati personali. A fondamento di tale assunto viene posta una norma fondamentale del diritto dell’Unione, ossia l’art. 288, III comma del TFUE, il quale dispone che gli Stati membri sono tenuti, in sede di recepimento di una direttiva, a garantirne la piena efficacia disponendo, allo stesso tempo, di un ampio margine di discrezionalità quanto alla scelta delle modalità e dei mezzi per garantirne l’attuazione. Tale libertà lascia a ciascuno Stato membro la facoltà di adottare tutte le misure necessarie per garantire la piena efficacia della direttiva in questione, conformemente all’obiettivo che persegue. A tal proposito viene anche richiamato il decimo Considerando della direttiva 95/46, che stabilisce che il ravvicinamento delle legislazioni nazionali applicabili in questo settore non deve portare ad un indebolimento della protezione da esse fornita, ma deve, al contrario, mirare a garantire un elevato livello di protezione nell’Unione.

La linea sostenuta da Fashion ID e Facebook Ireland, quindi, non è accettata dalla Corte, la quale non ritiene che qualsiasi azione legale non espressamente prevista dalla direttiva sarebbe esclusa, ma che gli articoli 22, 23 e 28 della direttiva 95/46 lasciano agli Stati membri la facoltà di decidere in merito ai dettagli o di scegliere tra le opzioni, cosicché gli Stati membri hanno per molti aspetti un margine di manovra per il recepimento di detta direttiva.

Per quanto concerne, poi, la seconda questione pregiudiziale e come espressamente previsto dall’articolo 2, lettera d), della direttiva 95/46, la nozione di “titolare del trattamento” si riferisce all’organismo che, “da solo o insieme ad altri“, determina le finalità e gli strumenti del trattamento dei dati personali: non ci si riferisce necessariamente ad un unico organismo e può riguardare diversi soggetti coinvolti nel trattamento, ognuno dei quali è soggetto alle disposizioni applicabili in materia di protezione dei dati. Ciò detto, l’esistenza di una responsabilità congiunta non si traduce necessariamente in una responsabilità equivalente, per lo stesso trattamento dei dati personali, dei diversi attori. Al contrario, questi soggetti possono essere coinvolti in fasi diverse di questo trattamento e in misura diversa, cosicché il livello di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze pertinenti del caso. Ebbene, nel caso in esame, sembra che, nonostante l’impossibilità per Fashion ID di determinare le finalità e le modalità di successivi trattamenti di dati personali effettuati da Facebook Ireland dopo la loro trasmissione a quest’ultima, questa sia, invece, in grado di determinare il trasferimento del dato mediante l’apposizione del pulsante “mi piace” sulla pagina web dell’azienda Fashion ID, e tanto anche al fine di beneficiare della visibilità procurata dal social network.

L’ultima questione affrontata ha, come anticipato, a che vedere con l’individuazione del soggetto deputato alla raccolta del consenso per il trattamento dei dati, nonché obbligato a rendere l’informativa necessaria. Qualificato come “titolare del trattamento” il gestore di un sito web che inserisca in tale sito un “modulo social” che consente al browser del visitatore di tale sito web di richiedere contenuti al fornitore di tale modulo e di trasmettere a tale fornitore i dati personali di tale visitatore, questi assume gli obblighi imposti dalla direttiva per tale figura.

Ragion per cui, la raccolta del consenso e l’obbligo di rendere l’informativa inerente il trattamento dei dati gravano anche in capo a questo soggetto.

 

[1] Cfr. punto 42, n.1 della sentenza: “Se il regime previsto dagli artt. 22, 23 e 24 della direttiva [95/46] osti ad una normativa nazionale che, oltre ai poteri di intervento delle autorità preposte alla protezione dei dati e all’azione legale dell’interessato, conferisce, in caso di violazione, alle associazioni di pubblica utilità che difendono gli interessi dei consumatori il potere di agire contro l’autore di una violazione.”

[2] Cfr. punto 42, n.2 della sentenza: “Se, in un caso come quello di specie, in cui qualcuno inserisce nel suo sito web un codice di programma che consente al browser dell’utente di richiedere contenuti a terzi e di trasmettere a tal fine dati personali a terzi, la persona che rende l’inserimento “responsabile del trattamento” ai sensi dell’art. 2, lett. d), della direttiva [95/46], qualora non possa avere egli stesso alcuna influenza su tale trattamento di dati.”

[3] Cfr. punto 42, n.4 della sentenza: “In un contesto come quello del caso di specie, quale sia l'”interesse legittimo” da prendere in considerazione nella ponderazione da effettuare ai sensi dell’art. 7, lett. f), della direttiva [95/46]. È nell’interesse dell’inserimento di contenuti di terzi o nell’interesse di terzi?

[4] Cfr. punto 42, n.5 della sentenza: “In un contesto come quello del caso di specie, a chi deve essere dato il consenso di cui agli artt. 7, lett. a), e 2, lett. h), della direttiva [95/46]. Se l’obbligo di informare l’interessato ai sensi dell’art. 10 della direttiva [95/46] in una situazione come quella che si verifica nel caso di specie si applichi anche al gestore del sito che ha inserito il contenuto di un terzo ed è quindi all’origine del trattamento di dati personali da parte di un terzo”.

Garante Privacy e disciplina relativa ai sistemi di biglietterie automatizzate

Avv. Vincenzo Colarocco

Il Garante privacy con provvedimento n. 138 del 20 giugno 2019 ha espresso il suo parere favorevole sullo schema di provvedimento del Direttore dell’Agenzia delle Entrate recante “Misure attuative in materia di vendita o qualsiasi altra forma di collocamento di titoli di accesso”. Questo, per contrastare il fenomeno del cosiddetto secondary ticketing (ossia, quel mercato di biglietti parallelo a quello autorizzato, le cui transazioni avvengono principalmente attraverso piattaforme online) individua le caratteristiche tecniche per la realizzazione di sistemi informatici che consentano la vendita di biglietti nominativi attraverso biglietterie automatizzate su Internet.

Più precisamente, la legge di bilancio 2019 ha previsto che, a partire dal 1 luglio, i biglietti di accesso a spettacoli in impianti con capienza superiore a 5.000 spettatori debbano essere nominativi e che l’accesso all’area dello spettacolo sia subordinato al riconoscimento personale, attraverso controlli e meccanismi efficaci di verifica dell’identità dei partecipanti all’evento, compresi i minorenni. Sul punto, nel dare il suo parere, il Garante, pur rilevando la mancata consultazione da parte del legislatore, ha tuttavia ritenuto:

  • il trattamento dei dati personali proporzionato rispetto ai fini perseguiti” poiché volto a contrastare all’elusione e all’evasione fiscale, a tutelare i consumatori nonché a garantire l’ordine pubblico;
  • rispettato il principio di minimizzazione dei dati, previsto dall’art. 5 del Regolamento (UE) 2016/679 in quanto “i dati richiesti per il partecipante sono quelli minimi per consentire il riconoscimento personale tramite l’esibizione di un documento di identità al momento dell’accesso all’area dello spettacolo”;
  • che le regole tecniche predisposte dall’Agenzia delle Entrate per disciplinare l’acquisto, la rimessa in vendita e il cambio di nominato dei titoli di accesso a spettacoli, mediante biglietterie automatizzate “introducono misure atte a garantire un trattamento di dati personali lecito e corretto”.Il Garante privacy con provvedimento n. 138 del 20 giugno 2019 ha espresso il suo parere favorevole sullo schema di provvedimento del Direttore dell’Agenzia delle Entrate recante “Misure attuative in materia di vendita o qualsiasi altra forma di collocamento di titoli di accesso”. Questo, per contrastare il fenomeno del cosiddetto secondary ticketing (ossia, quel mercato di biglietti parallelo a quello autorizzato, le cui transazioni avvengono principalmente attraverso piattaforme online) individua le caratteristiche tecniche per la realizzazione di sistemi informatici che consentano la vendita di biglietti nominativi attraverso biglietterie automatizzate su Internet.

    Più precisamente, la legge di bilancio 2019 ha previsto che, a partire dal 1 luglio, i biglietti di accesso a spettacoli in impianti con capienza superiore a 5.000 spettatori debbano essere nominativi e che l’accesso all’area dello spettacolo sia subordinato al riconoscimento personale, attraverso controlli e meccanismi efficaci di verifica dell’identità dei partecipanti all’evento, compresi i minorenni. Sul punto, nel dare il suo parere, il Garante, pur rilevando la mancata consultazione da parte del legislatore, ha tuttavia ritenuto:

    • il trattamento dei dati personali proporzionato rispetto ai fini perseguiti” poiché volto a contrastare all’elusione e all’evasione fiscale, a tutelare i consumatori nonché a garantire l’ordine pubblico;
    • rispettato il principio di minimizzazione dei dati, previsto dall’art. 5 del Regolamento (UE) 2016/679 in quanto “i dati richiesti per il partecipante sono quelli minimi per consentire il riconoscimento personale tramite l’esibizione di un documento di identità al momento dell’accesso all’area dello spettacolo”;
    • che le regole tecniche predisposte dall’Agenzia delle Entrate per disciplinare l’acquisto, la rimessa in vendita e il cambio di nominato dei titoli di accesso a spettacoli, mediante biglietterie automatizzate “introducono misure atte a garantire un trattamento di dati personali lecito e corretto”.

Il Caso Cambridge Analitica e L’ Ordinanza di Ingiunzione del Garante : Multa da 1 Milione di Euro per Facebook

Avv. Vincenzo  Colarocco

Il marzo scorso, nell’ambito del caso “Cambridge Analytica – società che attraverso un’applicazione per test psicologici aveva avuto accesso ai dati di 87 milioni di utenti e li aveva usati per tentare di influenzare le presidenziali americane del 2016 -, il Garante per la protezione dei dati personali aveva contestato a Facebook una serie di violazioni afferenti la disciplina sul trattamento dei dati, precisamente la mancata adozione di una informativa, la mancata acquisizione del consenso e il  mancato idoneo riscontro ad una richiesta di informazioni ed esibizione di documenti.

In tale circostanza Facebook manifestò la volontà di avvalersi della possibilità di estinguere il procedimento sanzionatorio mediante il pagamento in misura ridotta di una somma pari a 52.000 euro.

Tuttavia, le violazioni su informativa e consenso erano state commesse in riferimento ad una banca dati di particolare rilevanza e dimensioni, caso per il quale non si ammette la possibilità di concedere una tale riduzione della misura del pagamento.

Su tali premesse, con provvedimento n. 134 del 14 giugno 2019, il Garante ha disposto per Facebook un’ulteriore sanzione per gli illeciti compiuti.

Nel caso di specie, preso in esame dall’Autorità, è stato considerato che:

  1. in ordine all’aspetto della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni risultano di particolare gravità avuto riguardo al meccanismo in base al quale il semplice accesso di 57 utenti all’applicazione “Thisisyourdigitallife” ha determinato la condivisione di dati personali di ben 214.077 utenti;
  2. circa la personalità degli autori della violazione, deve essere considerata la circostanza che le Società non risultano gravate da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;
  • in merito alle condizioni economiche delle società, è stato preso in considerazione il bilancio d’esercizio per l’anno 2017 di Facebook Italy e le informazioni sul fatturato complessivo e sul patrimonio netto di Facebook Ireland.

Alla luce di siffatte valutazioni, il Garante per la protezione dei dati personali ha deciso di quantificare la sanzione in 1 milione di euro, assurgendo a criteri di quantificazione della misura sanzionatoria l’imponenza del database, oltre che le condizioni economiche di Facebook e il numero di utenti mondiali e italiani della società.

Data breach: le comunicazioni agli utenti non devono essere generiche

Avv. Vincenzo Colarocco

Con un provvedimento n. 106 del 30 aprile 2019, il Garante privacy ha ribadito –nei confronti di un importante fornitore di servizi di posta elettronica– la necessità di fornire le adeguate informazioni agli utenti coinvolti dal data breach. La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda.

Nel caso di specie, la violazione si è verificata in conseguenza di un attacco informatico ai sistemi di front end per la consultazione delle caselle di posta elettronica tramite webmail che, ancorché allo stato arginato, ha permesso che fosse acquisita, da parte di soggetti terzi ignoti, una grande quantità di credenziali di autenticazione (circa un milione e mezzo di utenti). L’accesso fraudolento alle caselle e-mail è sempre fonte di potenziale pregiudizio per gli interessati, quale rischio elevato per i diritti e le libertà delle persone fisiche (si pensi, al furto o usurpazione di identità).

A tal proposito, l’autorità garante ha chiarito che le comunicazioni agli utenti di intervenuti data breach, ai sensi dell’art. 34 del Regolamento, da parte di un fornitore di servizi non dovranno essere generiche, ma dovranno fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, ed in particolare:

(i)        contenere una descrizione della natura della violazione e delle sue possibili conseguenze;
(ii)       fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi (ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata).

Minimizzazione dei dati: il Garante danese sanziona una compagnia di taxi

Avv. Vincenzo Colarocco

Con un recente provvedimento pubblicato a seguito di un’attività ispettiva effettuata lo scorso ottobre, l’Autorità Danese, rilevando la sussistenza di una violazione del principio di minimizzazione dei dati, ha sanzionato con una multa da € 160.000,00 la società di taxi “Taxa 4×35”.

In dettaglio, nell’ambito del trattamento dati correlato agli ordini effettuati dai clienti, la società si era imposta una data retention pari a 2 anni, rilevando come un trattamento ulteriore non risultasse giustificato da alcuna necessità aziendale. L’Autorità, nell’ambito della suddetta attività ispettiva, verificava però come, per quanto la suindicata conservazione fosse concretamente realizzata ed adeguata rispetto alle finalità perseguite, non comprendesse tutti i dati identificativi del cliente. Infatti l’anonimizzazione era limitata al nome e al cognome, mentre non veniva intaccato il numero di telefono del cliente, dato per il quale la società aveva invece imposto una conservazione di 5 anni.

Alla luce di quanto sopra, la competente Autorità non ha potuto che constatare una violazione del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c) del Regolamento UE 679/2016 (“GDPR”). In particolare non risultava correttamente utilizzata la misura tecnica dell’anonimizzazione dal momento che, prevedendo una retention più ampia per il numero di cellulare del cliente, a quest’ultimo ben potevano essere ricondotti una serie di dati afferenti alla corsa in taxi effettuata (es: data della corsa, ora di inizio e di fine della stessa, il numero di chilometri percorsi, il pagamento, la posizione iniziale e finale specificati come coordinate GPS) oltre il termine di due anni previsto per la conservazione del proprio nome e cognome.

È infatti evidente come, finché una corsa in taxi può essere collegata al cliente che ha prenotato il viaggio, le relative informazioni sono da considerarsi informazioni personali sul cliente.

Riscatti: il sequestro di “persona” nell’era digitale

Avv. Vincenzo Colarocco

L’avvento dell’era digitale ha determinato una trasformazione nella fisionomia delle tradizionali forme di criminalità, inducendo altresì una crescita esponenziale della frequenza con cui, grazie all’uso dello strumento informatico, sono perpetrati gli illeciti comuni: quale il furto di dati compiuto direttamente sui personal computer.

Gli strumenti usati sono diversi. Fino a qualche tempo fa venivano usati i c.d. Ransom Trojans, “trappole” che convincevano gli utenti ad accettare i termini del malware con la scusa di sterilizzare i computer da false minacce come virus o errori di sistema; oggi, molto in voga tra le organizzazioni cybercriminali, sono i Ransomware, malware che, tramite la tecnica dell’Encryption (metodo codificante i dati in un formato che sia impossibile da leggere per chi non è autorizzato a farlo) limitano l’accesso al dispositivo infettato.

In entrambi i casi l’obiettivo è uno soltanto: farsi pagare dalle vittime ingenti somme di denaro al fine di restituire i dati o sciogliere le limitazioni d’accesso. Questo crea, ovviamente, grandi difficoltà, soprattutto laddove non sono poste politiche di sicurezza adeguate e quindi la possibilità di recupero dei dati da copie di backup o altre tecniche di archiviazione sicura.

Ma non finisce qui. La tecnica del riscatto è impiegata anche in situazioni diverse. Infatti, in alcuni casi, le organizzazioni di cybercriminali sono riuscite ad accedere ad interi database, giovando sulle criticità dei sistemi di autenticazione e copiandone i contenuti dietro pagamento di un prezzo imposto.

A subire l’offensiva, proprio qualche giorno fa, sono stati i servizi di hosting GitHub, Bitbucket e GitLab. Centinaia di repository di codice sorgente Git sono stati cancellati e sostituiti con una richiesta di riscatto da parte degli aggressori. L’attacco sulle diverse piattaforme è stato lanciato, coordinatamente, il 3 maggio.