logo

Benvenuti sul sito di Sicurdata Srl. Siamo a vostra disposizione per tutto ciò che riguarda consulenza in ambito Data Protection & E-Privacy e Compliance.

Contatti

Indirizzo:

Viale Belfiore, 42 - 50123 - Firenze (FI), Italia.
Email : info@opendata.it

 Domande?

Visita la sezione Questions & Answers

Stefania Oliveri

Stefania Oliveri

Il popolare quotidiano riporta che la pratica sarebbe particolarmente diffusa in Cina, dove i proprietari delle piccole aziende avrebbero versato ai dipendenti Amazon fino a 300 Dollari per la rimozione di una singola recensione. Da qui la creazione di una vera e propria rete (ovviamente illegale) organizzata attraverso WeChat, la piattaforma di instant messaging particolarmente diffusa nel paese asiatico. Alcuni servizi permetterebbero ai negozi di connettersi direttamente con i dipendenti Amazon.

Il caso è molto più ampio, e lo stesso giornale riferisce anche che alcuni venditori avrebbero ricevuto (dietro il pagamento di bustarelle) i dati relativi ai volumi di venditae le abitudini di spesa degli acquirenti, al fine di incrementare gli introiti.

I dati sono strettamente riservati, che come previsto dalla politica interna della società non possono essere in alcun modo diffuso a terzi.

E' proprio per questo motivo che la società di Seattle ha provveduto ad aprire un'indagine interna per fare chiarezza sulla questione.

 

A quasi quasi quattro mesi dalla piena applicazione del regolamento europeo nulla sembra cambiato sul fronte dell’adeguamento. Solo tre imprese su dieci, rivela una ricerca di Talend, sono riuscite a fornire agli utenti una copia dei loro dati personali nei tempi necessari

Il regolamento europeo sulla privacy è pienamente applicabile da ormai più di tre mesi. Eppure, sembra proprio che le aziende non abbiano ancora trovato la via maestra per mettersi in regola. Negli ultimi tre mesi la quota di aziende che non sono riuscite a rispondere alle richieste da parte degli utenti di ottenere una copia dei propri dati personali entro un mese, così come stabilito dai regolamenti della General data protection regulation (Gdpr), ha toccato quota 70%. E non è proprio un segnale di buon auspicio in termini di compliance.

A rivelare l’ennesimo dato emblematico del ritardo sull’adeguamento alla Gdpr è una ricerca firmata da Talend, compagnia statunitense specializzata in integrazione dati tramite soluzioni cloud, che ha passato al setaccio l’esperienza di 103 aziende con sede o operanti in Europa in vari settori tra cui retail, media, tecnologia, settore pubblico, finance e viaggi. La ricerca, condotta tra il 1° giugno e il 3 settembre 2018, si è concentrata sulle risposte all'articolo 15 del regolamento UE ("Diritto di accesso da parte dell'interessato") e sulle richieste dell'articolo 20 ("Diritto alla portabilità dei dati"), esaminando anche il rispetto della Gdpr per quanto riguarda le politiche sulla privacy, la velocità e la completezza delle risposte. E come accennato era lecito sperarsi risultati migliori.

Un dato curioso è che la conformità alle regole europee è più elevata al di fuori dell'EuropaSolo il 35% delle aziende europee intervistate ha fornito i dati: tra queste, imprese con sede nel Regno Unito, Francia, Germania, Spagna, Svezia e Italia. Sale invece al 50% il tasso di conformità registrato per le imprese non europee. Dato che suggerisce l’esistenza di un approccio leggermente più attivo fuori dai confini comunitari. Da un punto di vista settoriale, spicca la maglia nera del settore retail. Un preoccupante 76% delle aziende di vendita al dettaglio è risultata inadempiente. Non va comunque così meglio nel comparto con le migliori prestazioni, quello dei servizi finanziari, che non va oltre il 50% di aziende non conformi.

La ricerca sottolinea che a trovare il percorso di conformità più impegnativo sono soprattutto le aziende che hanno iniziato offline, anche semplicemente perché meno abituate alle dinamiche digitali. Se scendiamo poi nel dettaglio dei tempi di risposta, scopriamo performance significativamente diverse tra i vari settori.  La grande maggioranza (65%) delle aziende conformi ha impiegato più di 10 giorni per rispondere, mentre il tempo medio complessivo di risposta è stato di 21 giorni. Per alcune, tuttavia, la risposta è stata molto più rapida. Di coloro che hanno risposto entro il limite di tempo (22% delle aziende), sono state principalmente le compagnie tecnologiche a rispondere in un solo giorno.

«La Gdpr richiede analisi sui dati aziendali e sulla governance. Mentre molte aziende comprendono l'importanza del regolamento, molte altre non stanno ancora mettendo in atto le soluzioni necessarie per gestire correttamente i propri dati in termini di tecnologie e processi», osserva Penny Jonesresearch director di 451 Research. E non si tratta solo di compliance, gli fa eco Jean-Michel Francosenior director Data Governance Products di Talend: «Il regolamento europeo è un'opportunità per fidelizzare i clienti. Nell'era digitale, è strategico per le aziende avere una visione a 360 gradi dei propri utenti. Le aziende devono garantire che i dati siano consolidati e archiviati in modo trasparente e condivisibile».

Sanzione da 600 mila euro per una campagna di telemarketing del 2015 e del 2016. Gli utenti non avevano dato il consenso a ricevere messaggini o, addirittura, lo avevano negato

ROMA - Tra il 2015 e il 2016, per nove volte, Wind indirizza una pioggia di sms verso i suoi clienti. Cinque milioni di clienti, un'enormità. Sono tutte persone che non hanno dato il via libera a ricevere messaggini promozionali, o persone che addirittura hanno negato il loro consenso. Proprio per questo, il Garante della Privacy - dopo un lungo braccio di ferro con Wind (ora fusa con Tre) - decide ora una sanzione da 600 mila euro.

La prima contestazione del Garante è del 27 ottobre 2016. L'Autorità - presidente Antonello Soro - intima a Wind di fermare le sue campagne e decide una prima multa di modesto importo. Wind, però, tiene il punto. Sostiene che i suoi sms non sono affatto promozionali. La società si è limitata a chiedere ai propri clienti il permesso a spedire, in futuro, degli sms con finalità commerciale.

Wind, insomma, invoca la libertà d'impresa. A suo parere, le campagne si basano su una forma di relazione con il cliente che il Garante stesso considera lecita (il "soft spam"). Quindi ricorre al Tar del Lazio contro il primo altolà del Garante della Privacy dell'ottobre 2016.

Il Tar non si è ancora pronunciato sul caso. Ma intanto il Garante va avanti e sanziona Wind Tre (ormai una sola entità) una seconda volta e per ben 600 mila euro. Il Garante spiega che questi sms non hanno una natura semplicemente tecnica. I messaggini puntano a strappare il consenso a inviare, in futuro, "materiale pubblicitario o di vendita diretta o comunicazioni commerciali".

Dunque questi sms sono già parte di una campagna di marketing che può essere fatta a condizione di avere l'autorizzazione del cliente. E' vero: forme di relazione con gli utenti sono possibili (come il "soft spam"); ma possono utilizzare al massimo l'e-mail e non anche l'invasivo sms.

Pronto a una nuova sanzione, il Garante avrebbe potuto deciderne una di 150 mila euro. Ma la pioggia di sms ha investito un'enormità di persone (5 milioni). Dunque si configura come una forma particolarmente aggressiva di telemarketing.

Wind Tre, intanto. è diventato l'operatore di telefonia più grande del Paese, forte sul piano dei conti. Dunque solo una multa quadruplicata fino a 600 mila euro può rappresentare un deterrente perché certi comportamenti non siano ripetuti in futuro.

Il tavolo interistituzionale al Mise sta lavorando al nuovo regolamento che dovrà contemperare tutti gli aspetti necessari per gestire la crescita esponenziale dei volumi di numerazione da controllare.

Le nuove regole contro il telemarketing selvaggio sono alle porte e l’estensione del registro delle opposizioni ai cellulari rappresenta il cuore della riforma, che attende soltanto l’emanazione del decreto ad hoc per entrare in vigore. Un passaggio molto atteso, soprattutto da parte dei cittadini consumatori, che a breve (probabilmente entro fine anno) avranno la possibilità di inserire il loro numero fisso non presente negli elenchi pubblici ma soprattutto quello mobile nel nuovo registro delle opposizioni, gestito dalla FUB (Fondazione Ugo Bordoni), il braccio operativo del Mise sul fronte Ict e dello spettro radio, che dalla nascita del registro ha verificato 4 miliardi di numeri in sette anni, incrociando soltanto quelli fissi presenti sugli elenchi pubblici (13 milioni di numeri). In futuro i controlli riguarderanno anche i 7 milioni di numeri fissi non presenti in elenco o riservati, più i 99 milioni di numeri cellulari (SIM) che, secondo i dati Agcom, sono presenti in Italia. Insomma, sono circa 120 milioni i numeri sotto potenziale controllo del nuovo registro delle opposizioni, quasi dieci volte tanto rispetto ai 13 milioni di numeri fissi da gestire finora. Un bel salto che va gestito con oculatezza.

Tavolo interistituzionale al Mise

Tanto che in questi giorni proseguono i lavori del tavolo tecnico interistituzionale istituito al Mise, al quale partecipano AgcomGarante Privacy e le maggiori associazioni di categoria, istituito subito dopo l’approvazione della legge a dicembre 2017. Priorità del tavolo tecnico è la stesura del nuovo regolamento del registro delle opposizioni, che deve tenere conto dell’enorme cambiamento legato all’apertura agli smartphone. Il nuovo regolamento è in dirittura d’arrivo e dovrebbe essere pronto a giorni, per passare poi al vaglio di Agcom e Garante Privacy, che avranno 30 giorni per un parere. Dopo di che, il testo andrà alla Presidenza del Consiglio, per passare poi al Parlamento per l’approvazione e infine a pubblicazione in Gazzetta Ufficiale.

A occhio e croce, è ragionevole ipotizzare che la nuova normativa possa entrare in vigore entro fine anno. Dopodiche ci saranno tre mesi di tempo per testare sul campo il nuovo regime.

Visti i numeri in ballo, è facile prevedere che, con il nuovo regime di contrasto al telemarketing selvaggio – che peraltro prevede per i consumatori la revoca di tutti i consensi concessi in passato, quel ‘reset’ richiesto esplicitamente dal Garante Privacy – la quantità di verifiche sulle numerazioni aumenterà in maniera esponenziale. Allo stesso modo si amplierà la platea di operatori di telemarketing che, in base alle nuove norme, dovranno obbligatoriamente rivolgersi alla FUB per controllare e consensare le loro liste di numeri. Il che rappresenta un cambiamento sostanziale, visto che oggi solo i call center che estraggono i loro numeri dagli elenchi telefonici hanno il dovere di passare dalla FUB per consensare le loro liste, mentre con la nuova normativa è previsto invece l’obbligo per tutti gli operatori di controllare una volta al mese che le loro liste di numeri siano pulite, confrontandole con le numerazioni del registro delle opposizioni. Questo passaggio sarà necessario anche se le società di telemarketing dispongono di liste consensate.

Sistema sempre più automatizzato

Il nuovo regolamento è stato scritto perché il sistema sia il più automatizzato possibile, anche perché prevede che l’inserimento di una numerazione nel registro avvenga in tempi stretti (entro un giorno lavorativo dalla richiesta).

In sintesi, in futuro aumenteranno le numerazioni da controllare, aumenteranno i soggetti obbligati ai controlli e cresceranno in maniera esponenziale le verifiche necessarie per aggiornare costantemente il nuovo registro delle opposizioni esteso al mobile.

Il registro delle opposizioni è ad oggi una macchina oliata ed è prevedibile che l’aumento dei volumi di controllo avrà un impatto anche sull’impianto tariffario dei controlli da applicare agli operatori, allo studio appunto del Mise e del tavolo tecnico, che sta lavorando per contemperare tutte le voci di costo che andranno a comporre le nuove tariffe per gli operatori alla luce dell’ampliamento al mobile. Operatori che certamente hanno tutto l’interesse a poter disporre di liste comprovate e sempre aggiornate, per svolgere al meglio il loro lavoro.

Nyt, 'accordi con Apple,Samsung,BlackBerry,Amazon e Microsoft'

(ANSA) - NEW YORK, 3 GIU - Facebook ancora nel mirino sul fronte della violazione della privacy: secondo quando scrive il New York Times, nel tempo avrebbe stipulato accordi con almeno 60 produttori di smartphone, tablet e altri dispositivi mobili, permettendo loro di accedere ai dati personali di migliaia di utenti e dei loro 'amici' senza esplicito consenso. Tra i gruppi con cui il colosso di Mark Zuckerberg negli ultimi dieci anni avrebbe siglato intese ci sarebbero Apple, Amazon, BlackBerry, Microsoft e Samsung.
   

Chi vuole può citofonare a Casaleggio, Montezemolo o all'ad delle Ferrovie per lamentarsi di persona dei ritardi. Si possono anche scaricare i dati in modo massivo per usarli a fini commerciali o rivenderli a terzi. Mentre entra in vigore il General Data Protection Regulation (GDPR) che impone la stretta ai gestori di banche dati di tutta Europa in Italia si scopre una gigantesca falla nel portale delle imprese voluto dal governo. Si rischiano multe fino a 10 milioni di euro. Immediata la segnalazione al Garante della Privacy

Il Garante della Privacy comunica che in seguito alla pubblicazione del servizio ha avviato un’istruttoria sul caso e ha richiesto al gestore “ogni utile elemento alla piena valutazione del caso”. Intanto UnionCamere ha sospeso la funzione di compilazione automatica che permetteva di visionare e scaricare dati di aziende diverse da quella che si è loggata per il servizio

I clienti delle Fs potranno lamentarsi di persona con chi le amministra, basta seguire l’indirizzo e citofonare “Mazzoncini”. Idem quelli di Amsa e A2a e di multinazionali come Sky, Ikea, Siemens, Edison, Suzuki, Toyota e Luxottica. Qualche buontempone potrà suonare il campanello di CasaleggioDe Benedetti e Montezemolo o attaccarsi a quello del politico paracadutato ai vertici di società pubbliche. Il servizio è gratuito e privo di rischi, grazie al contributo di Palazzo Chigi e Camere di commercio. Volevano semplificare la vita agli imprenditori, hanno finito per esporre ai quattro venti i loro dati personali, comprese le residenze private, di milioni di amministratori, procuratori e consiglieri iscritti al Registro delle Imprese.

Merito di un portale istituzionale che regala all’Italia un bel primato: anche i sassi sanno che oggi, 25 maggio 2018, diventa operativo il General Data Protection Regulation (GDPR), il nuovo regolamento europeo che impone maggiori obblighi e cautele, nonché sanzioni fino a 10 milioni di euro ai gestori di dati che per evitarle stanno bombardando utenti e clienti di richieste a rinnovare il consenso. Il nostro Paese lo celebra con un data-breach di proporzioni epiche e dai risvolti inesplorati. A beneficio dei curiosi che s’annidano tra 200mila utenti mensili del sito e di chi volesse utilizzarli a fini commerciali propri o rivenderli a terzi. Magari dopo averli scaricati comodamente in blocco con un semplice script da ragazzini dell’Itis di Monza. Lo abbiamo fatto.

Il Paradiso degli opendata (involontari) si spalanca digitando www.impresainungiorno.gov.it , indirizzo del portale nato per rispondere a un decreto del 2008 che imponeva a tutti i comuni di dotarsi di uno Sportello unico delle attività produttive (Suap) telematico. Consente ai titolari d’impresa di sbrigare online pratiche e autorizzazioni senza doversi recare fisicamente gli sportelli. Lo ha realizzato Infocamere col sostegno di Union Camere, cioè degli imprenditori stessi, e dell’Associazione dei comuni (Anci), cioè dei contribuenti. L’iniziativa era e resta meritoria, salvo sbattere contro le disposizioni vigenti sul corretto trattamento dei dati e sulle nuove che sono un bel grattacapo per tutte le imprese. E ora, chi glielo dice che sono le prime vittime di una clamorosa leggerezza? Una nota ufficiale di Union Camere, preventivamente sollecitata dal fattoquotidiano.it, assicura che “nessuna criticità in ordine alla tenuta/protezione dei dati. Da molti anni le Camere di commercio gestiscono il registro informatico delle imprese italiane e gli standard di sicurezza sono i più elevati”. Ma è bastato un piccolo test a dimostrare il contrario. Si clicca sul bottone a destra del sito “accedi ai servizi”. Da qui in poi, è un gioco da ragazzi.

Se Snowden chiede una pratica edilizia
Il Codice dell’amministrazione digitale dice che per accedere ai servizi della PA si devono usare esclusivamente sistemi sicuri, come SPID o la CNS, ma il gestore del sito – prima falla – evidentemente non lo sa e consente di registrarsi come si vuole, senza un sistema di autenticazione. Noi lo facciamo usando il nome Edward Snowden, l’informatico e attivista statunitense che ha rivelato lo scandalo intercettazioni. Luogo e data di nascita sono su Wikipedia e di strumenti per calcolare il codice fiscale è pieno Internet. Il nostro Edward può ora presentare pratiche presso tutti i Comuni italiani convenzionati. Ne sceglie uno a caso, il Comune di Milano e segue le istruzioni. Clicca sul bottone “Compila una pratica” e arriva una pagina dove deve inserire i dati anagrafici dell’azienda. E qui siamo alla seconda falla.

Il servizio ha poi una funzione compilazione automatica del modulo, così che a Snowden basta inserire un codice fiscale aziendale (sono tutti pubblicati per legge nella homepage dei loro siti Internet) per vedersi comparire a schermo la relativa scheda anagrafica estratta dal Registro delle Imprese, con tutti i dati relativi al rappresentante legale dellazienda. Potrà inserire, ad esempio, il codice fiscale di NTV – Italo treno: 09247981005. Cliccando sul bottone “recupera dati” magicamente otterrà l’indirizzo dell’abitazione di Luca Cordero di Montezemolo. Lo stesso può fare con la Casaleggio e associati per avere l’indirizzo di Davide Federico Dante Casaleggio e così via. Certo, si può anche fare tramite le visure camerali, ma bisogna accreditarsi e pagare lasciando traccia delle operazioni. Si può andare fisicamente allo sportello della Camera di Commercio, dove non chiedono documenti, ma richiede tempo e si paga per ogni pratica. Qui si fa tutto in rete, gratis e senza limiti. Ma ecco il terzo svarione che perfeziona il pasticcio: il data-breach, cioè la possibilità di scaricare, copiare e trasmettere in maniera massiva dati personali.

Il data-breach casalingo, la reazione dellente
Scaricare a mano 6milioni di schede aziendali, l’intera banca dati delle Camere di Commercio, in effetti può risultare noioso. Fortunatamente Edward conosce Giggino, che frequenta la terza all’ITIS informatici di Monza che è un maghetto col Javascript. In quattro e quattr’otto Giggino gli prepara uno script che scarica diecimila record alla volta.
Ecco qui i primi diecimila in un file Excel, li manderemo a Antonello Soro, il Garante della privacy per sentire cosa ne pensa. Ma è mai possibile che dati personali siano trattati con tanta leggerezza dalla società delle camere di Commercio? A sera chiama il dirigente di InfoCamere responsabile del servizio. Luca Candiani ci ringrazia della segnalazione e poi spiega che l’ente ha scelto di non limitare l’accesso a credenziali sicure perché “vista la scarsa diffusione di identità digitali tra gli italiani avremmo fortemente limitato l’operatività del servizio”. Eppure il governo e la sua Agenda digitale spingono da anni nella direzione opposta, a incentivare il più possibile la diffusione di sistemi di autenticazione sicuri come Spid e Cns. Resta allora da capire quanto la pretesa “operatività del servizio” faccia rima con i più sostanziosi incassi che un accesso non controllato garantisce ogni anno all’ente camerale.

L’esperto: “Se confermate, inadempienze gravi”
“Se le cose stanno in questi termini siamo davanti a una serie di inadempienze gravi”, spiega Fulvio Sarzana, giurista che da anni si occupa di diritti digitali e privacy. “Sembra potersi profilare una violazione del principio di accountability ovvero dell’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del nuovo quadro comunitario alla base del Regolamento Europeo in materia di protezione dei dati personali. Va ricordato che il Regolamento è in vigore dal maggio 2016 e dal maggio 2018 è solo prevista l’operatività in tutti i paesi dell’Unione. Ancora, va ricordato come l’adozione di misure di sicurezza per il trattamento dei dati personali volte ad evitare rischi di diffusione incontrollata di dati, sia oggetto anche di una specifica disposizione penale, come già previsto dall’art 169 del codice della privacy. E’ bene verificare con attenzione cosa sia successo”. Il Garante della Privacy ha aperto un’istruttoria.

PS 1- L’unico vero ostacolo che il nostro Edward ha incontrato sulla sua strada è stato al momento della  registrazione: dopo aver fallito con diversi browser ha scoperto che il sito funziona solo con alcuni. Questo nonostante le linee guida per la realizzazione dei siti web della PA raccomandino di verificarne il funzionamento su tutti i browser più diffusi.

PS 2 – La sera prima della pubblicazione abbiamo segnalato la falla a UnionCamere che è il titolare del servizio per consentirle di prendere le giuste contromisure ed evitare eventuali abusi.

In vista del nuovo regolamento Ue sulla Data Protection, le aziende stanno inviando una pioggia di mail a clienti e persone in mailing list per chiedere il rinnovo del consenso al trattamento dei dati. Ma quasi sempre il consenso ce l’hanno già oppure se non ce l’hanno non dovrebbero inviare quella mail.

La gran parte delle email che in questo periodo intasano le nostre caselle di posta per richiederci il rinnovo del consenso al trattamento dei nostri dati a scopi di marketing o per mantenere i nominativi dei destinatari sulle mailing list in vista dell’entrata in vigore del GDPR sono superflue o addirittura illegali.

Secondo alcuni esperti citati dal TheGuardian, molte aziende stanno letteralmente subissando le caselle di posta dei loro database di richieste di rinnovo del consenso informato alla ricezione di comunicazioni pubblicitarie di marketing e di assenso al trattamento dei dati personali dei destinatari. Un martellamento di messaggi per non incorrere nelle pesanti sanzioni previste dal GDPR, figlio però di consigli legali troppo spesso sbagliati, visto che la maggior parte dei destinatari ha già dato il consenso e non è obbligatorio il rinnovo.

Perché il diluvio di mail per il GDPR, posso ignorarlo?

Secondo Tony Vitale, responsabile regolazione, data e informazioni dello studio legale Winckworth Sherwood, gran parte delle mail inviate freneticamente dalle aziende in preparazione al GDPR per ottenere il rinnovo dei consensi è inutile. “Il consenso è soltanto uno dei sei criteri legali (alla base del trattamento di dati online ndr) – ha detto Vitale al Guardian – Gli altri sono un contratto, un obbligo legale, interessi vitali, pubblico interesse, interessi legittimi”.

L’articolo 171 del GDPR dice chiaramente che è possibile continuare a contare su un consenso esistente concesso in linea con le richieste del GDPR, e per questo non c’è alcun bisogno di rinnovare il consenso. L’unico accorgimento, “assicurarsi che il consenso di cui si dispone risponda agli standard richiesti dal GDPR e che i consensi siano documentati nel modo giusto”.

In altre parole, se un’azienda ha ottenuto il via libera a comunicare con te prima del GDPR, quel consenso probabilmente vale anche dopo la sua entrata in vigore, e se invece non vale più, l’azienda ha altri cinque buoni motivi per continuare a trattare i tuoi dati.

Inoltre, paradossalmente, se un’azienda non ha ricevuto il consenso a comunicare con te, probabilmente non dispone nemmeno del consenso a scriverti una mail per chiederti il consenso a inviarti messaggi di marketing.

C’è da dire che per spedire una mail per chiedere il rinnovo del consenso al trattamento dei dati di una persona le aziende dovrebbero essere certe al 100% su come hanno ottenuto quel nominativo. Molto semplicemente, sono certamente numerose le aziende che non sarebbero in grado di dimostrare se, come e quando hanno ricevuto il consenso a contattare qualcuno a scopi di marketing.

In vista del nuovo regolamento Ue sulla Data Protection, le aziende stanno inviando una pioggia di mail a clienti e persone in mailing list per chiedere il rinnovo del consenso al trattamento dei dati. Ma quasi sempre il consenso ce l’hanno già oppure se non ce l’hanno non dovrebbero inviare quella mail.

La gran parte delle email che in questo periodo intasano le nostre caselle di posta per richiederci il rinnovo del consenso al trattamento dei nostri dati a scopi di marketing o per mantenere i nominativi dei destinatari sulle mailing list in vista dell’entrata in vigore del GDPR sono superflue o addirittura illegali.

Secondo alcuni esperti citati dal TheGuardian, molte aziende stanno letteralmente subissando le caselle di posta dei loro database di richieste di rinnovo del consenso informato alla ricezione di comunicazioni pubblicitarie di marketing e di assenso al trattamento dei dati personali dei destinatari. Un martellamento di messaggi per non incorrere nelle pesanti sanzioni previste dal GDPR, figlio però di consigli legali troppo spesso sbagliati, visto che la maggior parte dei destinatari ha già dato il consenso e non è obbligatorio il rinnovo.

Perché il diluvio di mail per il GDPR, posso ignorarlo?

Secondo Tony Vitale, responsabile regolazione, data e informazioni dello studio legale Winckworth Sherwood, gran parte delle mail inviate freneticamente dalle aziende in preparazione al GDPR per ottenere il rinnovo dei consensi è inutile. “Il consenso è soltanto uno dei sei criteri legali (alla base del trattamento di dati online ndr) – ha detto Vitale al Guardian – Gli altri sono un contratto, un obbligo legale, interessi vitali, pubblico interesse, interessi legittimi”.

L’articolo 171 del GDPR dice chiaramente che è possibile continuare a contare su un consenso esistente concesso in linea con le richieste del GDPR, e per questo non c’è alcun bisogno di rinnovare il consenso. L’unico accorgimento, “assicurarsi che il consenso di cui si dispone risponda agli standard richiesti dal GDPR e che i consensi siano documentati nel modo giusto”.

In altre parole, se un’azienda ha ottenuto il via libera a comunicare con te prima del GDPR, quel consenso probabilmente vale anche dopo la sua entrata in vigore, e se invece non vale più, l’azienda ha altri cinque buoni motivi per continuare a trattare i tuoi dati.

Inoltre, paradossalmente, se un’azienda non ha ricevuto il consenso a comunicare con te, probabilmente non dispone nemmeno del consenso a scriverti una mail per chiederti il consenso a inviarti messaggi di marketing.

C’è da dire che per spedire una mail per chiedere il rinnovo del consenso al trattamento dei dati di una persona le aziende dovrebbero essere certe al 100% su come hanno ottenuto quel nominativo. Molto semplicemente, sono certamente numerose le aziende che non sarebbero in grado di dimostrare se, come e quando hanno ricevuto il consenso a contattare qualcuno a scopi di marketing.

Chiarire subito il quadro normativo in materia di privacy, tirando fuori dai cassetti il decreto legislativo varato in prima lettura lo scorso 21 marzo e, poi, uscito dai radar. E tradurre in un impegno formale le parole con le quali il Garante ha aperto la strada a un approccio «equilibrato e pragmatico» nella fase di transizione dei primi mesi.

Sono le due richieste chiave contenute nelle missive con le quali il mondo produttivo italiano, a pochi giorni dall’entrata in vigore (il prossimo 25 maggio) delle nuove regole in materia di trattamento dei dati personali, ieri mattina ha fatto blocco per rappresentare la sua preoccupazione. Confindustria, Abi, Ania, Assonime e Confcommercio hanno così indirizzato due lettere al Garante per la protezione dei dati personali e al Governo (destinatari: Dipartimento affari legislativi di PalazzoChigi e ministero della Giustizia), con lobiettivo di ottenere a beneficio delle imprese «le necessarie certezze applicative». Qualche prima risposta, in attesa di indicazioni compiute, potrebbe arrivare già oggi, nel corso del convegno che proprio Confindustria ospiterà a Roma per parlare della «Gdpr ai nastri di partenza».

Le missive esordiscono entrambe sottolineando un dato, relativo al Regolamento Ue sulla protezione dei dati personali: «La preoccupazione del mondo produttivo». Nonostante la sua «imminente operatività» (l’entrata in vigore è fissata il 25 maggio), infatti, il quadro normativo al quale le imprese dovranno fare riferimento è ancora caratterizzato da «incertezze». Soprattutto, pesa il «notevole ritardo registrato nell’attuazione della delega per l’adeguamento della disciplina nazionale». Il termine per approvare il decreto che dovrà integrare le regole europee nel sistema italiano è, infatti, il 21 maggio. Nonostante manchino solo dieci giorni alla scadenza, il testo non è ancora stato ufficializzato.

La sostanza, cioè, è che gli operatori si trovano davanti un perimetro di regole ancora in via di assestamento. E le difficoltà vengono accentuate «dall’ampiezza dell’intervento del Regolamento, che modifica radicalmente l’approccio richiesto ai titolari di trattamenti di dati personali». I dubbi rallentano le attività di compliance, già parecchio articolate, «con il rischio molto concreto di arrivare al prossimo 25 maggio senza averle ultimate o, comunque, senza avere le necessarie certezze applicative». Quindi, anche se c’è soddisfazione «per le attività di sensibilizzazione e di indirizzo che gli uffici» del Garante stanno portando avanti «per informare e orientare» gli operatori, serve uno sforzo ulteriore.

Le lettere esplicitano, allora, due richieste. La prima è diretta al Governo, pur «consapevoli delle difficoltà dovute alla particolare situazione politica del nostro paese». Considerando la prossima scadenza del 25 maggio, è necessario che «l’iter di attuazione della citata delega sia il più rapido possibile in modo da consentire a tutti gli operatori di adeguarsi pienamente alla nuova disciplina».

La seconda richiesta è diretta, invece, al Garante. E parte dalle dichiarazioni rilasciate proprio da Antonello Soro il 3 maggio scorso al Sole 24 Ore in merito «all’approccio equilibrato e pragmatico che l’Autorità intende adottare nell’accompagnare le imprese italiane in questa fase di transizione». Quelle parole, molto apprezzate, vanno tradotte in un atto più concreto:le associazioni auspicano, infatti, «un impegno formale, volto a improntare a criteri di gradualità e progressività lesercizio del potere sanzionatorio e i controlli che lAutorità svolgerà sullosservanza di nuovi adempimenti».

Un grave problema di sicurezza è stato scoperto nel modo in cui Twitter gestisce le proprie password ed il problema è improvvisamente deflagrato tra le mani del gruppo. A rischio ci sarebbero oltre 300 milioni di account, le cui password potrebbero essere finite nelle mani di malintenzionati e sfruttate in vario modo.

Onore alla trasparenza: in questo caso l’azienda ha gestito al meglio il problema segnalando immediatamente quanto accaduto, diramando i dettagli del bug e chiedendo ad ogni singolo utente di risolvere alla radice la situazione modificando la propria password di accesso. Rimangono tuttavia lecite perplessità per quanto accaduto: l’errore appare tanto superficiale da mettere in forse l’intera struttura di quello che è uno dei principali social network al mondo, probabilmente uno dei più utilizzati da personaggi noti e sicuramente quello più citato sui media mainstream.

Il bug che svela le password

Il problema, così come spiegato da Twitter nell’apposito post, è in un sistema di log interno che avrebbe archiviato in chiaro tutte le password degli utenti loggati. Sebbene il network sia programmato per nascondere le pass anche agli sviluppatori interni, ed a gestirle attraverso un meccanismo di hashing che nasconde la password in ogni passaggio, un file di log avrebbe archiviato le password stesse consentendo potenzialmente ad un malintenzionato di trafugarle in blocco.

Il gruppo spiega di aver trovato in proprio il bug senza il coinvolgimento di alcuno all’esterno dell’azienda: immediatamente il sistema che cela le password alla vista di terzi è stato corretto, eliminando i contenuti presenti nel log (i dettagli di qualcosa come 336 milioni di account) e mettendo in atto le necessarie operazioni affinché tale errore non possa più ripetersi in futuro. Al momento non si segnala alcun abuso del file contenente le password, il che dovrebbe lasciar dormire sonni tranquilli a milioni di utenti di tutto il mondo.

Per maggior cautela, Twitter chiede tuttavia a tutti di modificare la propria password, invalidando così l’eventuale furto di informazioni che possa essere malauguratamente accaduto e difendendo in modo proattivo il proprio account. Il gruppo consiglia altresì di abilitare il meccanismo di autenticazione a doppio fattore, cosa che consente una maggior garanzia sul controllo del proprio profilo.

«Ci spiace molto per quanto accaduto», chiude Twitter: «apprezziamo la fiducia che riponete nei nostri confronti e ci impegniamo al fine di guadagnarci questa fiducia ogni singolo giorno». Il consiglio per ogni singolo utente è quello di verificare il proprio account, modificare la propria password ed approfittare dell’occasione per adottare una password sufficientemente sicura.

Pagina 1 di 38

Cookies

I cookies sono piccoli file di testo creati da un server e sono memorizzati sul dispositivo utilizzato dall'Utente per la navigazione sul sito. Essi permettono al sito di garantire all'Utente tutte le funzionalità, una migliore e completa esperienza di navigazione, e di essere al corrente delle preferenze e dei comportamenti dell'utente. Sicurdata Srl utilizza due tipi di cookies, di sessione e persistenti.

I cookies di sessione consentono all'Utente l'esplorazione sicura ed efficiente del sito internet; questi cookies non vengono memorizzati in modo permanente sul dispositivo dell'Utente e si cancellano con la chiusura del browser. I cookies persistenti vengono trasmessi al dispositivo dell'Utente la prima volta che si collega al sito di Sicurdata Srl, e sono memorizzati sul dispositivo stesso. Sicurdata Srl utilizza cookies persistenti per memorizzare le preferenze dell'utente e di terze parti (Google Analytics) al fine di produrre statistiche di utilizzo del sito e per la scelta della lingua.

L'Utente può opporsi alla registrazione dei cookies sul proprio dispositivo configurando il browser usato per la navigazione: se utilizza il sito di Sicurdata Srl senza cambiare le impostazioni del browser, presupponiamo che vorrà ricevere tutti i cookies usati dal sito e fruire di tutte le funzionalità.

Newsletter

Iscrivendoti alla nostra mailing list sarai in grado di ricevere tutte le nostre ultime notizie.
Privacy e Termini di Utilizzo
Non preoccuparti, odiamo lo spam!

Contattaci

Rimaniamo in contatto