Articoli

Un data breach da 1,2 miliardi di dati personali

Avv. Vincenzo Colarocco

Un archivio contenente 1,2 miliardi di informazioni personali (si tratterebbe di un volume di 4 terabytes) è stato rinvenuto presso un server non protetto. Nello specifico, le informazioni comprenderebbero anche account di social media, indirizzi e-mail e numeri di telefono. Pur non potendo allo stato individuare le dinamiche di tale trasferimento non autorizzato di dati, ciò che in prima battuta emerge – secondo quanto dichiarato da Vinny Troia, Ceo di Night Lion Security – è che la maggior parte di tali dati sarebbero stati raccolti su un server Google Cloud da una società chiamata People Data Labs. L’amministratore delegato della predetta società ha ammesso che alcuni dati sarebbero di titolarità della sua azienda, ma non tutti, puntualizzando di aver adottato adeguate misure di sicurezza tecniche ed organizzative per la tutela dei dati, nonché di essersi dotati di esperti informatici con l’apposito compito di trovare dataset vulnerabili per bloccare i dati prima che vengano scoperti da malintenzionati. La peculiarità del breach, rilevata dallo stesso Vinny Troia, sta proprio nel fatto che i dati coinvolti siano, oltre ad e-mail, nomi e numeri di telefono, i relativi profili di Facebook, Twitter, LinkedIn e Github degli interessati: informazioni di particolare appetibilità per hacker ed altri criminali dediti al commercio illecito di dati. La vicenda pone nuovamente al centro dell’attenzione e del confronto il tema del livello di sicurezza da prescrivere ai soggetti fornitori in occasione dell’apposita nomina a responsabile esterno, anche nel caso in cui tali soggetti si rappresentino come aziende multinazionali dal prevalente potere contrattuale. Come noto, tali soggetti difficilmente consentono ai loro clienti, titolari del trattamento, di negoziare sulle misure di sicurezza, in questo modo risultando questi ultimi praticamente obbligati all’accettazione delle procedure così come da essi predisposte, con totale affidamento, specie tenuto conto della difficoltà per gli stessi di rinvenire valide alternative sul mercato. Questa vicenda ha fornito l’ulteriore dimostrazione che anche i sistemi dei giganti della rete possono essere suscettibili di violazione. Un tema di non poco momento, quello della posizione dominante di alcuni provider, in relazione al quale sarebbe auspicabile ottenere la posizione del Garante per la protezione dei dati personali.

FaceApp: molto rumore per nulla?

Avv. Vincenzo Colarocco

FaceApp è un’applicazione per dispositivi mobili, prodotta da una società russa con sede a San Pietroburgo, la Wireless Lab, capace di modificare la foto-ritratto scattata dall’utente in un’immagine invecchiata, ringiovanita o trasformata in altro sesso.

Se, da un lato, la FaceApp mania impazza, complice anche l’abuso di molti influencer, dall’altro, il dibattito sull’applicazione si fa sempre più fervido. Lo sviluppatore americano Joshua Nozzi, con un tweet, ha accusato la Wireless Lab di raccogliere dati senza il consenso degli utenti, infuocando in questa maniera l’opinione pubblica. “Be careful with FaceApp” scriveva Nozzi “it immediately uploads your photos without asking, whether you chose or not”.

A destare preoccupazione il fatto che le foto modificate dall’applicazione siano salvate su un server controllato dalla Wireless Lab, senza che la privacy policy e i termini e condizioni chiariscano, in maniera intellegibile e trasparente, finalità e tempo di conservazione delle stesse. Detto altrimenti, FaceApp non sembra essere GDPR compliant nonostante la normativa comunitaria, secondo il disposto dell’articolo 3 del Regolamento, debba trovare applicazione anche in questo caso.

Proprio a proposito di GDPR, dalla lettura della privacy policy dell’applicazione si può facilmente scoprire che:

  • non è indicato il Titolare del trattamento;
  • non si fa riferimento ai diritti riconosciuti agli interessati che utilizzano l’applicazione;
  • le finalità del trattamento sono espresse in modo generico;
  • si comunica vagamente che ai dati dell’utente potranno accedere anche le società affiliate, senza indicare con precisione i motivi. In particolare, si legge che i dati potranno essere utilizzati dalle affiliate per migliorare i loro servizi, senza spiegare quali siano.

Sembra, infatti, che con l’utilizzo di FaceApp si conceda una licenza perpetua, irrevocabile, non esclusiva, esente da diritti, a livello mondiale, trasferibile per utilizzare, riprodurre, modificare, adattare, pubblicare, il contenuto caricato dall’utente.

Le gravi lacune dell’informativa, quindi, non comportano solo una violazione dei principi di trasparenza e correttezza dell’informazione resa all’interessato ma implicano, anche, la negazione dei diritti di cui egli stesso è titolare.

Servizio divertente? Probabile. Necessità di nuove verifiche sull’uso dei dati? Assodato. Agli utenti non resta altro che capire se qualche risata possa dirsi sufficiente per mettere a repentaglio la propria immagine e  non solo.