Articoli

Avvocati e Social Media. Deontologia, Privacy e tecniche per un uso efficace di LinkedIn

Milano – 23 novembre – Palazzo delle Stelline

PROGRAMMA

● Registrazione
● Comunicazione sui Social nel rispetto della deontologia forense
● GDPR e D.lgs. 101/18: adempimenti Privacy dello Studio Legale (focus: trattamento tramite i Social)
● Reputazione professionale on-line e consigli pratici per un efficace utilizzo di LinkedIn
● Q&A e confronto con i docenti

DOCENTI
Avv. Cinzia Preti
Consigliere Segretario dell’Ordine degli Avvocati di Milano | Studio Carnelutti
Avv. Vincenzo Colarocco
Head of Privacy and Compliance Department| Studio Previti
Dott. Stefano Montimoregi
Legal Tech Specialist | Founder Avvocato360.it
Ing. Germano Buttazzo
Senior Sales Manager | LinkedIn
Dott. Luca Menci
HR Director | BonelliErede

Facebook di nuovo vittima degli hacker: violati 81 mila account

Avv. Vincenzo Colarocco

Dopo lo scandalo Cambridge Analytica e gli hacker che rubano le chiavi di 30 milioni di account, ancora una volta, lo scorso novembre, Facebook è vittima di un attacco hacker ed a farne le spese sono almeno 81 mila utenti i cui log di chat sono stati venduti a 10 centesimi l’uno.

In realtà, questa volta sembrerebbe che il social network non sia stato violato, ma siano stati compromessi i browser con i quali gli utenti accedono al Social utilizzando estensioni manomesse. È così, infatti, che milioni di messaggi privati degli utenti sono stati monitorati e salvati da “agenti ostili”. A rivelarlo è stata la stessa BBC dopo aver scoperto il forum dove i log di tutte queste chat sono stati messi in vendita.

In particolare, insieme con la società di sicurezza informatica Digital Shadows, la BBC ha indagato su un utente con il nickname “FBSaler”, il quale ha offerto in vendita alcune informazioni private ricavate da Messenger affermando: “Vendiamo informazioni personali degli utenti di Facebook. Il nostro database include 120 milioni di account”.

Ad oggi sembra che gli account violati appartengano per lo più ad utenti provenienti da Russia e Ucraina, ma alcuni anche dagli Stati Uniti, dal Regno Unito e altrove.

L’unico aspetto positivo di tutta la vicenda è che le informazioni in possesso degli hacker non sarebbero in nessun modo collegate né a quelle dello scandalo Cambridge Analytica di fine marzo 2018, né alle violazioni dello scorso settembre.
Per maggiori approfondimenti clicca qui.

I rapporti tra l’accesso abusivo ad un sistema informatico e il ruolo dirigenziale

Avv. Vincenzo Colarocco

Con la sentenza del 25 ottobre 2018 n. 48895, la V Sezione Penale della Corte di Cassazione ha risposto al seguente interrogativo: è imputabile di accesso abusivo a sistema informatico il dirigente, che, all’atto delle proprie dimissioni, estragga i file contenenti dati riservati del proprio datore di lavoro?

Le Sezioni Unite prendono le mosse da un precedente orientamento giurisprudenziale con il quale era stato già affermato che il delitto previsto dall’art. 615 ter c.p. è integrato dalla condotta di colui che , pur essendone autorizzato, acceda o si mantenga in un sistema informatico protetto violando le condizioni ed i limiti risultanti dall’autorizzazione fornita dal titolare del sistema utilizzando, dunque, le proprie credenziali per scopi o finalità estranei a quelli per i quali la facoltà di accesso gli era stata attribuita.

Ciò implica che tutti i dipendenti di un’azienda, anche quelli che ricoprono un ruolo dirigenziale, siano tenuti a rispettare il dovere di eseguire, sui sistemi informatici, attività che siano in diretta connessione con l’assolvimento della propria funzione. Ne conseguono l’illiceità e l’abusività di qualsiasi comportamento che si ponga in contrasto con i limiti del relativo potere conferito.

Nel caso in esame, non è stato provato che l’imputato con la qualifica di dirigente avesse l’accesso indiscriminato a tutti i dati dell’azienda e, pertanto, nonostante la sua qualifica apicale, non era per lo stesso possibile un accesso indiscriminato ed illimitato al sistema informativo. La preposizione ad una branca o un settore autonomo dell’impresa, infatti, è pienamente compatibile, sul piano logico e giuridico, con la qualifica di dirigente.

La sentenza in commento si pone nel novero delle pronunce giurisprudenziali rilevanti nel contesto della cybersecurity, che è l’insieme di processi e presidi volti alla tutela della confidenzialità, integrità e disponibilità delle informazioni trattate mediante sistemi informatici.

Il caso in esame mostra come non solo un atto proveniente dall’esterno, come potrebbe essere quello di tipo hacker, ma anche uno proveniente dall’interno possa comportare una sostanziale violazione di dati ed informazioni. L’imputato, infatti, ha operato dall’interno, mediante le proprie credenziali legittimamente detenute, ponendo, però, in essere una condotta che non era ontologicamente compatibile con gli scopi posti alla base del rilascio delle credenziali stesse.

Da una tale affermazione conseguono, per lo meno, due considerazioni. Da un lato, la sentenza in commento non potrà restare priva di conseguenze sul piano organizzativo dell’impresa perché l’art. 615 ter c.p. rappresenta un reato presupposto ex art. 24-bis DLgs. 231/2001. Dall’altro, è evidente la diretta correlazione della statuizione della Corte con il principio di limitazione delle finalità disposto dall’art. 5 del Reg. UE 679/2016 che prevede che i dati personali siano raccolti per finalità determinate, esplicite, legittime, e successivamente trattati in modo non incompatibile con tali finalità. Questo perché, come visto, le credenziali informatiche, sebbene siano legittimamente possedute, non possono essere utilizzate per ragioni ontologicamente estranee a quelle per le quali la facoltà di accesso è stata attribuita.

Digital Crime: GDPR e Direttiva NIS richiedono interpretazione uniforme e coordinata

Avv. Vincenzo Colarocco

Regolamento europeo n. 679/2016 e Direttiva NIS UE 2016/1148: due provvedimenti differenti per finalità e contenuti (primo è dedicato alla protezione dei dati personali e si rivolge ad un’ampia categoria di soggetti obbligati, mentre la seconda, recepita nel nostro ordinamento mediante il D. Lgs. n. 65/2018, si propone la difesa delle reti e dei sistemi informativi e si rivolge esclusivamente agli operatori di servizi essenziali ed ai fornitori di servizi digitali).

Tali diversità non devono trarre in inganno, in quanto si tratta di provvedimenti strettamente collegati, posto che uno disciplina il “contenuto” e l’altro il “contenitore”: entrambi hanno come fine ultimo la uniformazione delle legislazioni in materia mediante cooperazione tra autorità nazionali. Questa complementarietà è fondamentale che venga assunta dalle imprese al fine di evitare interventi mirati ad assolvere il singolo adempimento.

È, inoltre, da ricordare che il complesso normativo inerente la cyber security si è andato sempre più ad allargare; basti ricordare: il Decreto del Presidente del Consiglio dei Ministri 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica”; il Piano nazionale per la protezione cibernetica e la sicurezza informatica del maggio 2017; la Circolare Agid n.2/2017 sostitutiva della n.1/2017,  recante misure minime di sicurezza ICT per le pubbliche amministrazioni.

A questo complesso di normative va aggiunto il Decreto legislativo 231/2001(Responsabilità amministrativa delle società e degli enti) che prevede la responsabilità delle imprese per reati informatici commessi dai vertici e dipendenti a seguito della legge 48/2008 ( Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno).

Rispetto il suddetto articolato sistema normativo ci si chiede come reagiranno le aziende, auspicando la creazione di modelli ad hoc che pure con le loro differenze consentano di rispondere alle esigenze di privacy e cybersecurity .

Una strategia questa che può essere attuata superando l’idea della distinzione tra esperto in sicurezza e giurista. È infatti necessario che gli informatici tengano presente le norme e che il giurista consideri le nuove tecnologie in modo tale da poter cooperare verso un nuovo sistema regolatorio completo.

E’ fatto divieto di cedere i dati degli utenti whatsapp a facebook

Avv. Vincenzo Colarocco

Il Garante per la protezione dei dati personali con il provvedimento 9058572 del 4 ottobre 2018 chiude un’inchiesta avviata nel 2016. In particolare, nell’agosto dello stesso anno Whatsapp modificava termini e informativa sulla privacy, predisponendo la disponibilità per Facebook di una serie di informazioni concernenti i singoli account degli utenti Whatsapp. Detto altrimenti, le due società, facenti parte come noto del medesimo gruppo (Whatsapp, Facebook, Instagram), avrebbero condiviso i dati degli utenti trattandone i dati per tre precipue finalità: 1) safety and security al fine di ricevere informazioni riguardanti account abusivi, pericolosi o illeciti; 2) business analytics al fine di de-duplicare gli account sulle varie applicazioni del gruppo individuandone gli utenti unici attivi su di esse; 3) pubblicitarie per promuovere prodotti e inserzioni pubblicitarie sul social network Facebook.

A seguito dell’istruttoria compiuta da una Task Force costituita dal Gruppo Articolo 29 (WP29) e delle osservazioni e valutazioni nel merito condotte dal Garante è emerso che il consenso degli utenti italiani ottenuto da Whatsapp deve ritenersi acquisito in violazione delle regole normative vigenti. In particolare, l’informativa non rispettava il principio di correttezza poiché non conteneva tutti gli elementi dell’art. 13 del GDPR: si trattava, infatti, di un comunicato troppo generico, non facilmente comprensibile, con finalità alquanto vaghe. Il consenso, per questo, non poteva ritenersi espresso, specifico e libero: Whatsapp chiedeva ai propri utenti di “accettare” le modifiche mediante un modello imperniato sull’opt-out (casella di spunta già “flaggata”), prospettando, in caso di mancata adesione, la sospensione del servizio, cosa che appariva decisamente sproporzionata. Del resto, non sussisteva una base giuridica diversa dal consenso, come il legittimo interesse, idonea a legittimare tali trattamenti.

Cassazione: rilevazione presenze con dati biometrici – Il Garante deve autorizzarla

Avv. Vincenzo Colarocco

La Suprema Corte di Cassazione con sentenza del 4 maggio 2018, depositata il 15 ottobre 2018, si è pronunciata sul trattamento dei dati biometrici dei dipendenti, attraverso un badge per rilevare la presenza.

La vicenda prende le mosse nel 2015, a seguito della sanzione inflitta del Garante Privacy nei confronti di una società specializzata nel settore dei servizi di igiene ambientale e raccolta differenziata ed indifferenziata, di un sistema di raccolta dei dati biometrici della mano per la rilevazione delle presenze dei dipendenti.

Proposta l’opposizione, il Tribunale di Catania la accoglieva, ritenendo che le apparecchiature utilizzate dalla società “non prelevino e non trattino i dati biometrici […] e che il dato biometrico è utilizzato come individualizzante, ma non come identificante”.

A seguito del ricorso del Garante, la Suprema Corte ha ribaltato l’interpretazione del giudice di merito precisando che ai fini della configurabilità del trattamento di dati personali, la mancata registrazione degli stessi in apposita banca dati è irrilevante, essendo sufficiente “una mera attività di raccolta ed elaborazione”. Orbene, ciò che rileva al predetto fine è che “il sistema, attraverso la conservazione dell’algoritmo, è in grado di risalire al lavoratore, al quale appartiene il dato biometrico, e quindi indirettamente lo identifica”. E questo non si poteva fare senza la preventiva notifica al Garante -conclude la Suprema Corte- neppure per uno scopo legittimo come quello di ‘controllo delle presenze’.

Evidente appare la diretta correlazione della statuizione della Corte con i principi espressi dal Regolamento UE 2016/679, tenendo conto che l’istituto della notifica preliminare oggi non trova più applicazione essendo stata introdotta peraltro la valutazione d’impatto.

Il “Rating reputazionale” non è vietato: la sentenza del Tribunale di Roma

Avv. Vincenzo Colarocco

Con sentenza n. 5715/2018, il Tribunale di Roma ha stabilito che la mancanza di una disciplina normativa sul ‘rating reputazionale’ non osta allo sviluppo di infrastrutture capaci di attribuirlo.

Nel caso di specie, una associazione impugnava il provvedimento del Garante per la protezione dei dati personali inibitorio del sistema di elaborazione dei dati da questa sviluppato per quantificare la reputazione di individui, persone giuridiche ed enti, pubblici e privati, assegnando loro un vero e proprio “rating”. Di avviso opposto rispetto al Garante, che aveva ritenuto che il complesso sistema di raccolta e di trattamento dei dati personali in oggetto sarebbe stato in grado di incidere sia sulla rappresentazione economica e sociale di un’ampia categoria di soggetti, sia sulla vita privata degli individui censiti, il giudice ordinario ha rilevato come siano ormai largamente diffusi gli organismi privati di valutazione e di certificazione, riconosciuti anche a fini di attestazione di qualità e/o di conformità a norme tecniche. Il Tribunale ha, dunque, stabilito che «non può negarsi all’autonomia privata la facoltà di organizzare sistemi di accreditamento di soggetti, fornendo servizi in senso lato ‘valutativi’, in vista del loro ingresso nel mercato, per la conclusione di contratti e per la gestione di rapporti economici», pertanto annullando il provvedimento del Garante, fermo il divieto di trattare i dati personali di soggetti non iscritti alla piattaforma, ancorché tratti da documenti liberamente conoscibili.

Data Breach: novembre nero per i sistemi di sicurezza informatici

Avv. Vincenzo Colarocco

Il mese corrente verrà senz’altro ricordato come uno dei più drammatici per la sicurezza informatica italiana e per la riservatezza di migliaia di utenti.

Il picco della “settimana nera” annunciata dal collettivo di attivisti hacker “Anonymous” contro obiettivi italiani si è fatto registrare, in particolare, nella giornata del 5 novembre. Dopo diversi giorni di cyber azioni di sabotaggio e sottrazione di dati a diverse piattaforme di organizzazioni nazionali (solo per citarne alcune: il Dipartimento di ingegneria informatica dell’Università di Roma, l’Azienda sanitaria provinciale di Reggio Calabria, diverse sedi di Confindustria), i temuti hacker si sono concentrati su obiettivi politici divulgando nomi, cognomi, numeri di telefono, email e password di impiegati e funzionari di diversi istituti del Consiglio Nazionale della Ricerca (CNR) e del Ministero dello Sviluppo Economico. Sono stati diffusi anche dati sensibili (in quanto rivelatori di opinioni politiche) dei tesserati della Lega Nord del Trentino, di Fratelli e del Partito Democratico di Siena; il sito del partito Fratelli d’Italia, invece, risultava irraggiungibile e ad ogni tentativo si era direttamente rimandati al blog di Anonymous (redirect).

Non solo Anonymous però, anche gli hacker del collettivo “Anonplus” si sono resi protagonisti di un grave attacco informatico ai danni dei server della Società Italiana degli Autori ed Editori (SIAE), dichiarando in un successivo tweet di aver trafugato circa 3,7 GB di dati. Ha fatto seguito un’importante precisazione della stessa SIAE con cui si è dato atto dell’attacco subito ma è stata smentita – almeno a seguito di una prima analisi – la sottrazione di dati sensibili.

L’evidente deficit di sicurezza informatica mostrato in tali circostanze dai succitati titolari di dati personali – alcuni dei quali, per di più, pubbliche amministrazioni – è stato preso in esame anche dal Garante privacy italiano Antonello Soro, il quale ha evidenziato come i descritti accadimenti possano essere in parte imputati all’assenza di un piano organico e di investimenti adeguati nell’attuale processo di digitalizzazione. Lo stesso Garante ha sottolineato come appaia evidentemente distante dall’essere praticato il principio di “privacy by design” che ispira l’attuale disciplina del Regolamento Europeo 679/2016 (“GDPR”), al fine di ridurre la superficie di attacco, assumendo la resilienza informatica e la protezione dei dati quali obiettivi centrali dell’azione.

Conclusivamente vale la pena ricordare come in caso di data breach (per tale intendendosi la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali), il succitato GDPR prevede l’obbligo di notifica della violazione al Garante Privacy e al soggetto che ne è vittima, mentre per quanto attiene all’aspetto sanzionatorio possono disporsi sanzioni fino a 10 milioni di euro (o al 2% del fatturato globale annuo), oltre al risarcimento del danno in favore degli interessato. Risulta quindi di fondamentale importanza (per qualsiasi politica di sicurezza dei dati) acquisire la capacità, ove possibile, di prevenire una violazione munendosi di misure di sicurezza adeguate. Altrettanto utile risulterebbe l’elaborazione, a monte dell’attività di adeguamento al GDPR, di una chiara ed efficiente policy in materia di data breach che permetta di reagire in maniera tempestiva ed in conformità alla normativa vigente qualora se ne presentasse la necessità.

Pubblicato l’elenco delle tipologie di trattamenti soggetti al requisito di valutazione d’impatto

Avv. Vincenzo Colarocco

Con il provvedimento n. 467 dell’11 ottobre 2018, il Garante pubblica l’elenco dei trattamenti che, ai sensi del paragrafo 4 dell’art. 35 del Regolamento (UE) 2016/679, sono soggetti a valutazione d’impatto.

In particolare, tenuto conto e allo scopo di specificarne ulteriormente il contenuto delle linee guida in materia di valutazione d’impatto sulla protezione dei dati del Gruppo Articolo 29 (WP 248, rev. 01) che hanno individuato nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”, il Garante ha predisposto un elenco delle tipologie di trattamento da sottoporre obbligatoriamente a valutazione d’impatto. Tale elenco,  rilevato che potrà essere modificato o integrato anche sulla base delle risultanze emerse nel corso della prima fase di applicazione del GDPR, è stato comunicato al Comitato europeo per la protezione dei dati che, nel garantire l’applicazione coerente del Regolamento, sarà tenuto ad emettere un parere. L’Autorità pone l’accento sul fatto che si faccia riferimento esclusivamente a tipologie di trattamento soggette al meccanismo di coerenza e che l’elenco non può intendersi esaustivo, restando fermo quindi l’obbligo di adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati dal WP 248, rev. 01 e che in taluni casi “un titolare può ritenere – comunque – che un trattamento che soddisfa soltanto uno [dei predetti] criteri richieda una valutazione d’impatto sulla protezione dei dati”.

 

Il Responsabile della Transizione digitale: la nomina è urgente

Avv. Vincenzo Colarocco

Il Decreto Legislativo n. 179/2016 ha modificato il Codice dell’Amministrazione Digitale (in seguito “CAD”) obbligando tutte le pubbliche amministrazioni all’individuazione di un ufficio cui affidare la transizione alla modalità operativa digitale e i conseguenti processi di riorganizzazione finalizzati alla realizzazione di un’amministrazione digitale (e-government) e aperta (open government), di servizi facilmente utilizzabili e di qualità, attraverso una maggiore efficienza ed economicità.

Premesso che per transizione digitale si intende il processo di passaggio da una società industriale verso una società dell’informazione con l’introduzione di nuovi modelli istituzionali, organizzativi di servizio, trasparenti e semplificati in rete; lo svolgimento di tale compito è stato affidato al “Responsabile alla transizione digitale”.

Questo è un funzionario che, dotato di specifiche competenze (tecnologiche, manageriali e informatiche), indica il percorso da seguire per indirizzare la macchina amministrativa ad intraprendere delle azioni verso la digitalizzazione (si veda l’elenco, non esaustivo, all’art. 17 del CAD), fungendo da trait d’union tra la pubblica amministrazione, l’Agenzia per l’Italia digitale ed il Governo italiano.

L’importanza della descritta introduzione è stata altresì sottolineata dalla recentissima circolare –adottata l’1 ottobre 2018- con cui il Ministro per la Pubblica Amministrazione Giulia Bongiorno ha sollecitato tutte le amministrazione pubbliche ad individuare al loro interno un Responsabile per la Transizione al Digitale (RTD), come previsto dall’art. 17 del CAD, ribadendo l’importanza di una corretta attuazione della riforma al fine di compiere decisivi passi avanti verso la “crescita digitale dell’Italia” e la “trasformazione digitale della pubblica amministrazione”.