Articoli

FAQ Coronavirus – Data protection

In ragione del rischio sanitario connesso alla diffusione del Covid-19, la raccolta dei dati personali si rende necessaria per ragioni di accertamento e prevenzione. Occorre tuttavia distinguere le attività di prevenzione poste in essere dai soggetti istituzionali e sanitari da quelle dei soggetti privati e degli enti pubblici. Il Garante per la protezione dei dati personali ha infatti chiarito che tale attività deve essere svolta solo da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.

Ultimo aggiornamento 14 marzo 2020 Continua a leggere

CoronaVirus: come limitare il contagio con l’Intelligenza Artificiale nel rispetto della privacy

Avv. Vincenzo Colarocco

Nelle ultime settimane stiamo assistendo all’adozione di misure straordinarie nel tentativo di limitare il contagio da Covid-19, ma il fenomeno potrebbe essere efficacemente contenuto grazie a big data e intelligenza artificiale. L’utilizzo di dati aggregati, anonimizzati e su larga scala dei soggetti contagiati, permetterebbe infatti di elaborare modelli predittivi sull’evoluzione del contagio e di ricostruire gli spostamenti delle persone infette, evitando il sorgere di nuovi focolai e rispettando la privacy degli individui coinvolti. Per consultare l’articolo completo, clicca qui.

CoronaVirus: come limitare il contagio con l’Intelligenza Artificiale nel rispetto della privacy

A cura di Vincenzo Colarocco per Sanità24 de Il Sole 24 Ore. Continua a leggere

Intelligenza Artificiale: in arrivo il Libro Bianco della Commissione Europea

Avv. Vincenzo Colarocco

La Commissione Europea ha annunciato che il prossimo 19 febbraio sarà pubblicato il c.d. Libro bianco sull’Intelligenza artificiale (scopo di tale “White Paper” è quello di avviare un confronto con il pubblico, le parti interessate, il Parlamento europeo e il Consiglio al fine di raggiungere il consenso politico) che ha il precipuo obiettivo di gettare le fondamenta del dibattito sulle questioni etiche legate all’intelligenza artificiale.

Del testo, il quale rappresenta l’esito della discussione pubblica inerente proposte per affrontare le sfide poste da questa tecnologia, è disponibile una bozza pubblicata dal sito di informazione Euractiv. Le informazioni trapelate da tale bozza hanno avuto un ampia eco, specie quelle riguardanti la moratoria sul riconoscimento facciale: infatti, tra le proposte avanzate dalla Commissione, spicca quella che prevede la possibilità di vietare l’uso di sistemi di riconoscimento facciale nei luoghi pubblici per un periodo che va dai tre ai cinque anni al fine di “salvaguardare i diritti delle persone, in particolare contro ogni possibile abuso della tecnologia”.

Allo stato, si attende la pubblicazione del documento – che, stando a quanto dichiarato alla commissione Affari legali del Parlamento europeo dal Commissario alla Concorrenza, Margrethe Vestager, sarà accompagnato da una relazione sulla sicurezza e le responsabilità nell’intelligenza artificiale – per comprendere la posizione strategica che l’Unione Europea vuole adottare sul tema sempre più importante per la tutela degli interessati.

“Security-Enabled Transformation: la resa dei conti”: di cosa si è discusso del Politecnico di Milano presso l’Aula Magna Carassa e Dadda, campus Bovisa del Politecnico di Milano il 5 febbraio 2020

Avv. Vincenzo Colarocco

Lo scorso 5 febbraio 2020, presso l’Aula Magna Carassa e Dadda, campus Bovisa, si è tenuto il Convegno “Security-enabled transformation: la resa dei conti” in cui sono stati presentati i risultati della Ricerca dell’Osservatorio Security & Privacy della School of Management del Politecnico di Milano (in seguito anche “Osservatorio”).

I Responsabili Scientifici dell’Osservatorio, hanno dato avvio ai lavori proponendo, insieme ai relatori chiamati al confronto, la presentazione dei risultati della Ricerca. Dall’introduzione di questo evento, già si è potuto capire, l’intento di rispondere al bisogno di conoscere, comprendere e affrontare le principali problematiche dell’information security e privacy, monitorando l’utilizzo di nuove tecniche e tecnologie a supporto di tale area da parte delle aziende e user e creando una community permanente di confronto. Come è stato più volte ribadito durante l’evento e riprendendo le parole del Garante per la protezione dei dati personali, è necessario porre l’accento “sull’importanza della protezione dati come presupposto ineludibile della sicurezza individuale e collettiva, tanto più necessario all’epoca dei big data e dell’Internet di “ogni cosa”. Con riferimento all’evoluzione del mercato dell’information security, la dinamica del mercato conferma la maggiore attenzione al tema security e data protection. È seguito, poi, l’intervento di Raoul Brenna (Responsabile della Practice Cybesecurity in CEFRIEL e Direttore del Percorso di Alta Formazione per Cybersecurity Manager) che ha ribadito come dalle nuove tecnologie nascono nuove opportunità ma anche nuove minacce e come determinati fattori quali, la cultura, il livello di persone e di organizzazione, siano elementi imprescindibili in un’ottica di cybersecurity. A seguire vi sono state molteplici tavole rotonde incentrate sui temi della:

  • trasformazione digitale e il ruolo strategico della sicurezza: tra security-by-design e strumenti della difesa real time”;
  • gestione dell’Industrial Security: tecnologie, modelli organizzativi e scenari di rischio”: ci si è soffermati sulla necessità di guardare prima la minaccia e poi la vulnerabilità differenziando i casi di “minaccia economicamente motivata” (più pericolosa) da quelle minacce poste in essere da aggressori “non economicamente motivati”. Inoltre, è stato precisato come sia sempre più opportuno porre in essere delle simulazioni di attacco per la verifica delle procedure aziendali in linea con le aspettative di business. E ancora, ci si è soffermati sulla security by design: prevedendo dei piani di miglioramento della sicurezza a lungo termine (minimizzazione dei contenuti e introduzione di una security by design nei processi con proposizione di standard per l’integrazione dei sistemi di sicurezza (nuovi impianti e linee produttive).
  • “GDPR e data protection: procedure e strumenti per garantire la compliance alle normative”. Durante il confronto, sono state raccontate le esperienze di adeguamento di varie realtà aziendali.

A seguire, nel pomeriggio, si è dato avvio a due sessioni parallele, l’una incentrata sui temi più tecnologici con riferimento all’ “Evoluzione dell’Information security tra nuove minacce e specializzazione delle difese” moderata da L. Bechelli, e l’altra sugli “Strumenti per garantire la compliance normativa e una efficace gestione dei rischi”, moderata da G. Troiano. Durante quest’ultima fase e nel corso della prima sessione sono state evidenziate alcune feature importanti per un sistema di gestione integrato, tra cui:

  • la definizione di un modello organizzativo per la data privacy fondato sul principio di accountability o responsabilizzazione;
  • la centralità del ruolo del Data Protection Officer;
  • la necessità di adeguare il corpo normativo interno con aggiornamento dei controlli tecnologici e delle clausole contrattuali per la gestione delle terze parti;
  • la definizione di un’infrastruttura tecnologica;
  • la definizione di una struttura organizzativa;
  • la definizione esaustiva di minacce, misure di sicurezza, nonché di gestione del rischio orientato al miglioramento continuo, anche per una migliore gestione dei data breach.

Viola il diritto alla riservatezza e all’immagine chi pubblica le foto altrui su Facebook senza consenso

Avv. Vincenzo Colarocco

Viola il diritto alla riservatezza e all’immagine chi pubblica le foto altrui su Facebook senza consenso. È quanto disposto dal Tribunale di Bari accogliendo il ricorso di un uomo che chiedeva venissero rimosse le foto sue e dei suoi figli dal profilo Facebook della propria ex compagna.

La pubblicazione di una foto è subordinata alla manifestazione, esplicita o implicita, del consenso da parte della persona ritratta. E tale condizione “è prevista sia dalle disposizioni normative a tutela del diritto all’immagine (art. 10 c.c. et art. 96 legge 633/1941) sia da quelle a tutela del diritto alla riservatezza (art. 6 Regolamento UE 2016/679) poiché l’altrui pubblicazione di una propria immagine fotografica costituisce in ogni caso (e a prescindere dall’applicabilità o meno della normativa di tutela di riferimento) una forma di trattamento di un dato personale”.

Irrilevante la differenza tra negazione e cessazione del consenso. Nel caso di specie, il consenso del ricorrente risulta espressamente negato, o, comunque, ne risulta comunicata la cessazione.

Il giudice ha disposto anche una misura di coercizione indiretta dell’adempimento dell’obbligo a norma dell’articolo 614-bis del c.p.c., condannando la donna a corrispondere una somma per ogni giorno di ritardo nell’esecuzione dell’ordine di cancellazione.

Come calcolare il rischio data protection? Arriva il tool dell’ENISA

Avv. Vincenzo Colarocco

Sin dal 2018, l’Agenzia europea per la sicurezza delle reti e dell’informazione, anche nota come ENISA, in linea con il principio di accountability sancito dal legislatore comunitario, ha promosso un approccio basato sul rischio per l’adozione di misure di sicurezza per la protezione dei dati personali. Nell’esercizio della propria funzione, tutta incentrata sull’analisi di soluzioni tecniche ottimali per l’implementazione degli adempimenti prescritti dal GDPR, in un’ottica di mitigazione del rischio, l’Agenzia ha lanciato una piattaforma online che consente di ottenere il profilo di rischio del trattamento posto in essere. La piattaforma è da intendersi come strumento collettivo per la gestione del rischio lato data protection: infatti, le raccomandazioni si riferiscono non soltanto alle PMI, ma anche agli organismi competenti dell’UE ed alle autorità di controllo, fino alla Commissione europea.

La piattaforma è stata resa disponibile in occasione della giornata della protezione dei dati personali 2020, il 28 gennaio.

Allarme ransomware: azienda licenzia 300 dipendenti

Avv. Vincenzo Colarocco

“The Heritage Company”, società americana con sede in Arkansas e 61 anni d’esperienza, potrebbe chiudere definitivamente. Poco prima del Natale, infatti, circa 300 lavoratori hanno ricevuto una lettera dalla compagnia in cui si invitava gli stessi a “cercare un altro lavoro”.

All’origine dell’infausto evento ci sarebbe un attacco ransomware.

Nello specifico, la società di telemarketing era stata colpita lo scorso ottobre da un virus il quale, colpendo i server aziendali, aveva ottenuto i dati in questi circolanti, paralizzando l’attività di tutti gli impiegati. Nella lettera, ottenuta dai media locali, si leggono le parole dell’amministratore delegato, Sandra Franecke, la quale spiega che all’attacco ha fatto seguito una richiesta di riscatto alla quale, la società, ha deciso di adempiere: tutto, pur di riprendere l’attività.

Purtroppo, però, le operazioni di restore hanno richiesto più tempo del dovuto, causando all’azienda perdite per centinaia di migliaia di dollari, perdite che hanno inciso sulla scelta di adottare il drastico comunicato.

Non è la prima volta che, nell’ultimo anno, attacchi ransomware hanno portato alla perdita di posti di lavoro da parte di dipendenti aziendali e persino alla chiusura d’intere aziende.

A settembre, ad esempio, il “Wood Ranch Medical”, con sede in California, ha annunciato che avrebbe chiuso a dicembre, in quanto il provider non era stato in grado di recuperare le cartelle cliniche dei pazienti perse sulla scia di un attacco ransomware di agosto.

Il “Brookside ENT and Hearing Center” del Michigan, invece, annunciò chiusura in aprile, dopo aver rifiutato di pagare il riscatto agli hackers, con il risultato che questi ultimi hanno cancellato tutti i dati dei loro pazienti.

L’Italia in pole position per le sanzioni GDPR del 2019

Avv. Vincenzo Colarocco

L’inizio dell’anno è per antonomasia tempo di bilanci e così è stato anche per l’Osservatorio di Federprivacy che ha condotto uno studio mirato ad analizzare le attività istituzionali in materia di privacy svolte nei 30 Paesi dello Spazio Economico Europeo. Più in particolare sono state computate le sanzioni inflitte nel corso dell’anno spirato da parte delle autorità di controllo. Dell’ammontare complessivo di 410 milioni di euro, il primato è detenuto dall’Italia, con 30 provvedimenti irrogati, per un totale di 4.341.990 euro. Sebbene il susseguirsi delle proroghe non abbia concesso al collegio del Garante di rinnovarsi alla scadenza del suo incarico, ciò non ha impedito all’Authority in carica di svolgere regolarmente le proprie attività ispettive, le quali già alla fine del primo semestre del 2019 avevano individuato 779 contravventori, con una riscossione complessiva prevista di circa 11 milioni di euro al termine dei singoli procedimenti sanzionatori. Tra le infrazioni ricorrenti, nel 44% dei casi si è trattato di trattamento illecito di dati, nel 18% dei procedimenti sono state riscontrate insufficienti misure di sicurezza, il 13% è costituito dal  mancato rispetto dei diritti degli interessati ed il 9% rispettivamente dalla omessa o inidonea informativa (9%) e dagli incidenti informatici e “data breach”. Subito dopo l’Italia, l’autorità spagnola (AEPD) con 28 sanzioni e al terzo posto quella romena (ANSPDCP) con 20 sanzioni comminate. Per quanto concerne il quantum delle sanzioni, l’’autorità più severa in assoluto è risultata quella del Regno Unito (ICO), che ha erogato multe per 312 milioni di euro, pari al 76% del totale complessivo relativo alle nazioni prese in esame. All’altro estremo si collocano le autorità di controllo di Irlanda e Lussemburgo, che non hanno ancora irrogato alcuna sanzione: sarà un caso che le multinazionali straniere che trattano dati personali su larga scala scelgano proprio questi Paesi per nominare il proprio rappresentante stabilito in Europa?

Cessione dei crediti e trattamento dei dati: il principio di minimizzazione deve esser sempre rispettato

Avv. Vincenzo Colarocco

Con recente ordinanza (n. 34113/2019) del 19 dicembre 2019, la Suprema Corte di Cassazione ha avuto modo di esprimersi circa il corretto (e doveroso) bilanciamento tra il trattamento dei dati personali connesso alle attività di recupero del credito ed il principio di minimizzazione dei dati, sottolineando la necessità di limitare le attività di trattamento ed il novero dei dati trattati a quanto strettamente necessario per il perseguimento delle finalità alla base della raccolta.

Per quanto attiene al caso di specie sotteso alla pronuncia in esame, basti sinteticamente rilevare che, con sentenza del 2012, il Tribunale di Napoli condannava il Banco di Napoli s.p.a. a rifondere in favore dell’attore una cospicua somma di denaro dovuta a titolo di responsabilità pre-contrattuale, oltre al risarcimento dei danni quantificati nella somma di € 5.000,00 per violazioni della vigente normativa in materia di protezione dei dati personali. Tali violazioni sarebbero, in particolare, state perpetrate in relazione al trattamento dei dati dell’attore connesso alla fase della cessione del credito da parte dell’istituto bancario.

Del medesimo avviso non risultava la competente Corte d’Appello evidenziando come, una volta eseguito il pignoramento immobiliare, risulterebbe inevitabile che la vicenda debitoria travalichi gli stretti ambiti del rapporto debitore-creditore, coinvolgendo tutti i possibili soggetto interessati all’acquisto del bene staggito.

L’interessato de quo proponeva quindi ricorso per Cassazione adducendo, tra gli altri motivi d’impugnazione, anche la violazione e falsa applicazione degli artt. 15 e seg. del D. Lgs. del Codice Privacy (per tale intendendosi la versione ratione temporis vigente, antecedente alle modifiche apportate dal D. Lgs. 101/2018) in virtù dell’asserita circostanza per cui la Banca la Banca avrebbe segnalato l’interessato debitore a soggetti privati “acquirenti di crediti”, fornendo loro dati sensibili in ordine alla persona del debitore, alla sua abitazione e alla sua situazione debitoria.

La Suprema Corte, quindi, nel rigettare le descritte doglianze, ha avuto modo di soffermarsi anche sull’attuale quadro normativo, rappresentando che il previgente “principio di necessità del trattamento”, di cui agli abrogati artt. 3 e 11 del Codice Privacy, sia stato recentemente riaffermato con l’entrata in vigore dell’art. 5 lett. c) del Regolamento UE 2016/679 (“GDPR”), a mente del quale i dati dovranno risultare “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)”.

La Cassazione, in più, si è espressa anche in ordine all’onere della prova circa la lamentata violazione del principio di minimizzazione dei dati, sottolineando come il ricorrente non avesse fornito alcuna dimostrazione in merito alla violazione del detto principio nell’ambito della comunicazione dei propri dati a soggetti terzi; ulteriormente rilevandosi che la Banca non potrebbe incorrere, a priori, in una violazione della normativa in ambito privacy “solo perché abbia fornito ai soggetti acquirenti del credito informazioni riguardanti la debitrice funzionali alla cessione del credito, quali la situazione debitoria, ubicazione dell’immobile vincolato alla garanzia del credito, etc.”.