Articoli

Un data breach da 1,2 miliardi di dati personali

Avv. Vincenzo Colarocco

Un archivio contenente 1,2 miliardi di informazioni personali (si tratterebbe di un volume di 4 terabytes) è stato rinvenuto presso un server non protetto. Nello specifico, le informazioni comprenderebbero anche account di social media, indirizzi e-mail e numeri di telefono. Pur non potendo allo stato individuare le dinamiche di tale trasferimento non autorizzato di dati, ciò che in prima battuta emerge – secondo quanto dichiarato da Vinny Troia, Ceo di Night Lion Security – è che la maggior parte di tali dati sarebbero stati raccolti su un server Google Cloud da una società chiamata People Data Labs. L’amministratore delegato della predetta società ha ammesso che alcuni dati sarebbero di titolarità della sua azienda, ma non tutti, puntualizzando di aver adottato adeguate misure di sicurezza tecniche ed organizzative per la tutela dei dati, nonché di essersi dotati di esperti informatici con l’apposito compito di trovare dataset vulnerabili per bloccare i dati prima che vengano scoperti da malintenzionati. La peculiarità del breach, rilevata dallo stesso Vinny Troia, sta proprio nel fatto che i dati coinvolti siano, oltre ad e-mail, nomi e numeri di telefono, i relativi profili di Facebook, Twitter, LinkedIn e Github degli interessati: informazioni di particolare appetibilità per hacker ed altri criminali dediti al commercio illecito di dati. La vicenda pone nuovamente al centro dell’attenzione e del confronto il tema del livello di sicurezza da prescrivere ai soggetti fornitori in occasione dell’apposita nomina a responsabile esterno, anche nel caso in cui tali soggetti si rappresentino come aziende multinazionali dal prevalente potere contrattuale. Come noto, tali soggetti difficilmente consentono ai loro clienti, titolari del trattamento, di negoziare sulle misure di sicurezza, in questo modo risultando questi ultimi praticamente obbligati all’accettazione delle procedure così come da essi predisposte, con totale affidamento, specie tenuto conto della difficoltà per gli stessi di rinvenire valide alternative sul mercato. Questa vicenda ha fornito l’ulteriore dimostrazione che anche i sistemi dei giganti della rete possono essere suscettibili di violazione. Un tema di non poco momento, quello della posizione dominante di alcuni provider, in relazione al quale sarebbe auspicabile ottenere la posizione del Garante per la protezione dei dati personali.

Responsabilità degli Internet Service Provider

Avv. Alessandro La Rosa

 

Italia e Inghilterra allineate sugli elementi di identificazione delle emissioni televisive.

E’ noto che il quadro normativo (comunitario e nazionale) subordina la possibilità di considerare il fornitore di servizi di hosting responsabile della pubblicazione non autorizzata di contenuti audiovisivi al fatto che esso abbia una “conoscenza effettiva” della natura illecita del materiale in questione. Il Tribunale di Roma (Sez. Impresa) con sentenza del 27 aprile c.a. ha riaffermato un principio che era già stato consacrato da due sentenze del Tribunale di Milano (Sez. Impresa, già citate qui) secondo cui in fattispecie in cui oggetto della pubblicazione sono video estratti da programmi televisivi, il titolare dei diritti fornisce un’informazione idonea a “sollecitare la necessaria attività di verifica e controllo” del provider indicando la denominazione delle opere audiovisive da tutelare; circostanza che consentirebbe al gestore del sito di identificare i video illeciti “con gli stessi strumenti informatici utilizzati dagli utenti per la ricerca delle trasmissioni (sul medesimo sito) attraverso le parole chiave”. Peraltro l’attività di identificazione è resa ancora più semplice qualora sui video in questione compaia il logo identificativo del broadcaster.

In tale contesto la tesi sostenuta dai provider della necessità della specifica indicazione degli URL è “insostenibile” perchè oltre a vanificare in concreto ogni forma di tutela effettiva, si pone “in contrasto con tutte le direttive europee e le sentenze della Corte di giustizia che, pur affermando l’insussistenza di un obbligo generale di sorveglianza, mai hanno considerato la necessità della specifica e tecnica indicazione degli URL”. Tanto perché, come già accertato dal Tribunale di Torino (di cui abbiamo riferito qui), gli Url “non sono i contenuti ma la loro localizzazione, luoghi ove vengono caricati i video e non i files illeciti”.

La recentissima decisione del Tribunale di Roma si pone in piena sintonia con un consolidato orientamento della giurisprudenza inglese in base al quale la chiara visibilità del logo identificativo dell’operatore televisivo deve essere considerato elemento sufficiente per la identificabilità del titolare dei diritti sulle stesse emissioni: così, lo scorso 18 marzo, la High Court of Justice di Londra ha condannato il gestore di un sito Internet e di una App attraverso cui venivano messi a disposizione del pubblico gli highlights di partite di cricket “rubate” ad un noto broadcaster, confermando che ancorché i video fossero immessi in rete dagli utenti, essi erano resi facilmente identificabili stante la presenza costante dal logo distintivo del titolare dei diritti.