logo

Benvenuti sul sito di Sicurdata Srl. Siamo a vostra disposizione per tutto ciò che riguarda consulenza in ambito Data Protection & E-Privacy e Compliance.

Contatti

Indirizzo:

Viale Belfiore, 42 - 50123 - Firenze (FI), Italia.
Email : info@opendata.it

 Domande?

Visita la sezione Questions & Answers

Stefania Oliveri

Stefania Oliveri

Nyt, 'accordi con Apple,Samsung,BlackBerry,Amazon e Microsoft'

(ANSA) - NEW YORK, 3 GIU - Facebook ancora nel mirino sul fronte della violazione della privacy: secondo quando scrive il New York Times, nel tempo avrebbe stipulato accordi con almeno 60 produttori di smartphone, tablet e altri dispositivi mobili, permettendo loro di accedere ai dati personali di migliaia di utenti e dei loro 'amici' senza esplicito consenso. Tra i gruppi con cui il colosso di Mark Zuckerberg negli ultimi dieci anni avrebbe siglato intese ci sarebbero Apple, Amazon, BlackBerry, Microsoft e Samsung.
   

Chi vuole può citofonare a Casaleggio, Montezemolo o all'ad delle Ferrovie per lamentarsi di persona dei ritardi. Si possono anche scaricare i dati in modo massivo per usarli a fini commerciali o rivenderli a terzi. Mentre entra in vigore il General Data Protection Regulation (GDPR) che impone la stretta ai gestori di banche dati di tutta Europa in Italia si scopre una gigantesca falla nel portale delle imprese voluto dal governo. Si rischiano multe fino a 10 milioni di euro. Immediata la segnalazione al Garante della Privacy

Il Garante della Privacy comunica che in seguito alla pubblicazione del servizio ha avviato un’istruttoria sul caso e ha richiesto al gestore “ogni utile elemento alla piena valutazione del caso”. Intanto UnionCamere ha sospeso la funzione di compilazione automatica che permetteva di visionare e scaricare dati di aziende diverse da quella che si è loggata per il servizio

I clienti delle Fs potranno lamentarsi di persona con chi le amministra, basta seguire l’indirizzo e citofonare “Mazzoncini”. Idem quelli di Amsa e A2a e di multinazionali come Sky, Ikea, Siemens, Edison, Suzuki, Toyota e Luxottica. Qualche buontempone potrà suonare il campanello di CasaleggioDe Benedetti e Montezemolo o attaccarsi a quello del politico paracadutato ai vertici di società pubbliche. Il servizio è gratuito e privo di rischi, grazie al contributo di Palazzo Chigi e Camere di commercio. Volevano semplificare la vita agli imprenditori, hanno finito per esporre ai quattro venti i loro dati personali, comprese le residenze private, di milioni di amministratori, procuratori e consiglieri iscritti al Registro delle Imprese.

Merito di un portale istituzionale che regala all’Italia un bel primato: anche i sassi sanno che oggi, 25 maggio 2018, diventa operativo il General Data Protection Regulation (GDPR), il nuovo regolamento europeo che impone maggiori obblighi e cautele, nonché sanzioni fino a 10 milioni di euro ai gestori di dati che per evitarle stanno bombardando utenti e clienti di richieste a rinnovare il consenso. Il nostro Paese lo celebra con un data-breach di proporzioni epiche e dai risvolti inesplorati. A beneficio dei curiosi che s’annidano tra 200mila utenti mensili del sito e di chi volesse utilizzarli a fini commerciali propri o rivenderli a terzi. Magari dopo averli scaricati comodamente in blocco con un semplice script da ragazzini dell’Itis di Monza. Lo abbiamo fatto.

Il Paradiso degli opendata (involontari) si spalanca digitando www.impresainungiorno.gov.it , indirizzo del portale nato per rispondere a un decreto del 2008 che imponeva a tutti i comuni di dotarsi di uno Sportello unico delle attività produttive (Suap) telematico. Consente ai titolari d’impresa di sbrigare online pratiche e autorizzazioni senza doversi recare fisicamente gli sportelli. Lo ha realizzato Infocamere col sostegno di Union Camere, cioè degli imprenditori stessi, e dell’Associazione dei comuni (Anci), cioè dei contribuenti. L’iniziativa era e resta meritoria, salvo sbattere contro le disposizioni vigenti sul corretto trattamento dei dati e sulle nuove che sono un bel grattacapo per tutte le imprese. E ora, chi glielo dice che sono le prime vittime di una clamorosa leggerezza? Una nota ufficiale di Union Camere, preventivamente sollecitata dal fattoquotidiano.it, assicura che “nessuna criticità in ordine alla tenuta/protezione dei dati. Da molti anni le Camere di commercio gestiscono il registro informatico delle imprese italiane e gli standard di sicurezza sono i più elevati”. Ma è bastato un piccolo test a dimostrare il contrario. Si clicca sul bottone a destra del sito “accedi ai servizi”. Da qui in poi, è un gioco da ragazzi.

Se Snowden chiede una pratica edilizia
Il Codice dell’amministrazione digitale dice che per accedere ai servizi della PA si devono usare esclusivamente sistemi sicuri, come SPID o la CNS, ma il gestore del sito – prima falla – evidentemente non lo sa e consente di registrarsi come si vuole, senza un sistema di autenticazione. Noi lo facciamo usando il nome Edward Snowden, l’informatico e attivista statunitense che ha rivelato lo scandalo intercettazioni. Luogo e data di nascita sono su Wikipedia e di strumenti per calcolare il codice fiscale è pieno Internet. Il nostro Edward può ora presentare pratiche presso tutti i Comuni italiani convenzionati. Ne sceglie uno a caso, il Comune di Milano e segue le istruzioni. Clicca sul bottone “Compila una pratica” e arriva una pagina dove deve inserire i dati anagrafici dell’azienda. E qui siamo alla seconda falla.

Il servizio ha poi una funzione compilazione automatica del modulo, così che a Snowden basta inserire un codice fiscale aziendale (sono tutti pubblicati per legge nella homepage dei loro siti Internet) per vedersi comparire a schermo la relativa scheda anagrafica estratta dal Registro delle Imprese, con tutti i dati relativi al rappresentante legale dellazienda. Potrà inserire, ad esempio, il codice fiscale di NTV – Italo treno: 09247981005. Cliccando sul bottone “recupera dati” magicamente otterrà l’indirizzo dell’abitazione di Luca Cordero di Montezemolo. Lo stesso può fare con la Casaleggio e associati per avere l’indirizzo di Davide Federico Dante Casaleggio e così via. Certo, si può anche fare tramite le visure camerali, ma bisogna accreditarsi e pagare lasciando traccia delle operazioni. Si può andare fisicamente allo sportello della Camera di Commercio, dove non chiedono documenti, ma richiede tempo e si paga per ogni pratica. Qui si fa tutto in rete, gratis e senza limiti. Ma ecco il terzo svarione che perfeziona il pasticcio: il data-breach, cioè la possibilità di scaricare, copiare e trasmettere in maniera massiva dati personali.

Il data-breach casalingo, la reazione dellente
Scaricare a mano 6milioni di schede aziendali, l’intera banca dati delle Camere di Commercio, in effetti può risultare noioso. Fortunatamente Edward conosce Giggino, che frequenta la terza all’ITIS informatici di Monza che è un maghetto col Javascript. In quattro e quattr’otto Giggino gli prepara uno script che scarica diecimila record alla volta.
Ecco qui i primi diecimila in un file Excel, li manderemo a Antonello Soro, il Garante della privacy per sentire cosa ne pensa. Ma è mai possibile che dati personali siano trattati con tanta leggerezza dalla società delle camere di Commercio? A sera chiama il dirigente di InfoCamere responsabile del servizio. Luca Candiani ci ringrazia della segnalazione e poi spiega che l’ente ha scelto di non limitare l’accesso a credenziali sicure perché “vista la scarsa diffusione di identità digitali tra gli italiani avremmo fortemente limitato l’operatività del servizio”. Eppure il governo e la sua Agenda digitale spingono da anni nella direzione opposta, a incentivare il più possibile la diffusione di sistemi di autenticazione sicuri come Spid e Cns. Resta allora da capire quanto la pretesa “operatività del servizio” faccia rima con i più sostanziosi incassi che un accesso non controllato garantisce ogni anno all’ente camerale.

L’esperto: “Se confermate, inadempienze gravi”
“Se le cose stanno in questi termini siamo davanti a una serie di inadempienze gravi”, spiega Fulvio Sarzana, giurista che da anni si occupa di diritti digitali e privacy. “Sembra potersi profilare una violazione del principio di accountability ovvero dell’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del nuovo quadro comunitario alla base del Regolamento Europeo in materia di protezione dei dati personali. Va ricordato che il Regolamento è in vigore dal maggio 2016 e dal maggio 2018 è solo prevista l’operatività in tutti i paesi dell’Unione. Ancora, va ricordato come l’adozione di misure di sicurezza per il trattamento dei dati personali volte ad evitare rischi di diffusione incontrollata di dati, sia oggetto anche di una specifica disposizione penale, come già previsto dall’art 169 del codice della privacy. E’ bene verificare con attenzione cosa sia successo”. Il Garante della Privacy ha aperto un’istruttoria.

PS 1- L’unico vero ostacolo che il nostro Edward ha incontrato sulla sua strada è stato al momento della  registrazione: dopo aver fallito con diversi browser ha scoperto che il sito funziona solo con alcuni. Questo nonostante le linee guida per la realizzazione dei siti web della PA raccomandino di verificarne il funzionamento su tutti i browser più diffusi.

PS 2 – La sera prima della pubblicazione abbiamo segnalato la falla a UnionCamere che è il titolare del servizio per consentirle di prendere le giuste contromisure ed evitare eventuali abusi.

In vista del nuovo regolamento Ue sulla Data Protection, le aziende stanno inviando una pioggia di mail a clienti e persone in mailing list per chiedere il rinnovo del consenso al trattamento dei dati. Ma quasi sempre il consenso ce l’hanno già oppure se non ce l’hanno non dovrebbero inviare quella mail.

La gran parte delle email che in questo periodo intasano le nostre caselle di posta per richiederci il rinnovo del consenso al trattamento dei nostri dati a scopi di marketing o per mantenere i nominativi dei destinatari sulle mailing list in vista dell’entrata in vigore del GDPR sono superflue o addirittura illegali.

Secondo alcuni esperti citati dal TheGuardian, molte aziende stanno letteralmente subissando le caselle di posta dei loro database di richieste di rinnovo del consenso informato alla ricezione di comunicazioni pubblicitarie di marketing e di assenso al trattamento dei dati personali dei destinatari. Un martellamento di messaggi per non incorrere nelle pesanti sanzioni previste dal GDPR, figlio però di consigli legali troppo spesso sbagliati, visto che la maggior parte dei destinatari ha già dato il consenso e non è obbligatorio il rinnovo.

Perché il diluvio di mail per il GDPR, posso ignorarlo?

Secondo Tony Vitale, responsabile regolazione, data e informazioni dello studio legale Winckworth Sherwood, gran parte delle mail inviate freneticamente dalle aziende in preparazione al GDPR per ottenere il rinnovo dei consensi è inutile. “Il consenso è soltanto uno dei sei criteri legali (alla base del trattamento di dati online ndr) – ha detto Vitale al Guardian – Gli altri sono un contratto, un obbligo legale, interessi vitali, pubblico interesse, interessi legittimi”.

L’articolo 171 del GDPR dice chiaramente che è possibile continuare a contare su un consenso esistente concesso in linea con le richieste del GDPR, e per questo non c’è alcun bisogno di rinnovare il consenso. L’unico accorgimento, “assicurarsi che il consenso di cui si dispone risponda agli standard richiesti dal GDPR e che i consensi siano documentati nel modo giusto”.

In altre parole, se un’azienda ha ottenuto il via libera a comunicare con te prima del GDPR, quel consenso probabilmente vale anche dopo la sua entrata in vigore, e se invece non vale più, l’azienda ha altri cinque buoni motivi per continuare a trattare i tuoi dati.

Inoltre, paradossalmente, se un’azienda non ha ricevuto il consenso a comunicare con te, probabilmente non dispone nemmeno del consenso a scriverti una mail per chiederti il consenso a inviarti messaggi di marketing.

C’è da dire che per spedire una mail per chiedere il rinnovo del consenso al trattamento dei dati di una persona le aziende dovrebbero essere certe al 100% su come hanno ottenuto quel nominativo. Molto semplicemente, sono certamente numerose le aziende che non sarebbero in grado di dimostrare se, come e quando hanno ricevuto il consenso a contattare qualcuno a scopi di marketing.

In vista del nuovo regolamento Ue sulla Data Protection, le aziende stanno inviando una pioggia di mail a clienti e persone in mailing list per chiedere il rinnovo del consenso al trattamento dei dati. Ma quasi sempre il consenso ce l’hanno già oppure se non ce l’hanno non dovrebbero inviare quella mail.

La gran parte delle email che in questo periodo intasano le nostre caselle di posta per richiederci il rinnovo del consenso al trattamento dei nostri dati a scopi di marketing o per mantenere i nominativi dei destinatari sulle mailing list in vista dell’entrata in vigore del GDPR sono superflue o addirittura illegali.

Secondo alcuni esperti citati dal TheGuardian, molte aziende stanno letteralmente subissando le caselle di posta dei loro database di richieste di rinnovo del consenso informato alla ricezione di comunicazioni pubblicitarie di marketing e di assenso al trattamento dei dati personali dei destinatari. Un martellamento di messaggi per non incorrere nelle pesanti sanzioni previste dal GDPR, figlio però di consigli legali troppo spesso sbagliati, visto che la maggior parte dei destinatari ha già dato il consenso e non è obbligatorio il rinnovo.

Perché il diluvio di mail per il GDPR, posso ignorarlo?

Secondo Tony Vitale, responsabile regolazione, data e informazioni dello studio legale Winckworth Sherwood, gran parte delle mail inviate freneticamente dalle aziende in preparazione al GDPR per ottenere il rinnovo dei consensi è inutile. “Il consenso è soltanto uno dei sei criteri legali (alla base del trattamento di dati online ndr) – ha detto Vitale al Guardian – Gli altri sono un contratto, un obbligo legale, interessi vitali, pubblico interesse, interessi legittimi”.

L’articolo 171 del GDPR dice chiaramente che è possibile continuare a contare su un consenso esistente concesso in linea con le richieste del GDPR, e per questo non c’è alcun bisogno di rinnovare il consenso. L’unico accorgimento, “assicurarsi che il consenso di cui si dispone risponda agli standard richiesti dal GDPR e che i consensi siano documentati nel modo giusto”.

In altre parole, se un’azienda ha ottenuto il via libera a comunicare con te prima del GDPR, quel consenso probabilmente vale anche dopo la sua entrata in vigore, e se invece non vale più, l’azienda ha altri cinque buoni motivi per continuare a trattare i tuoi dati.

Inoltre, paradossalmente, se un’azienda non ha ricevuto il consenso a comunicare con te, probabilmente non dispone nemmeno del consenso a scriverti una mail per chiederti il consenso a inviarti messaggi di marketing.

C’è da dire che per spedire una mail per chiedere il rinnovo del consenso al trattamento dei dati di una persona le aziende dovrebbero essere certe al 100% su come hanno ottenuto quel nominativo. Molto semplicemente, sono certamente numerose le aziende che non sarebbero in grado di dimostrare se, come e quando hanno ricevuto il consenso a contattare qualcuno a scopi di marketing.

Chiarire subito il quadro normativo in materia di privacy, tirando fuori dai cassetti il decreto legislativo varato in prima lettura lo scorso 21 marzo e, poi, uscito dai radar. E tradurre in un impegno formale le parole con le quali il Garante ha aperto la strada a un approccio «equilibrato e pragmatico» nella fase di transizione dei primi mesi.

Sono le due richieste chiave contenute nelle missive con le quali il mondo produttivo italiano, a pochi giorni dall’entrata in vigore (il prossimo 25 maggio) delle nuove regole in materia di trattamento dei dati personali, ieri mattina ha fatto blocco per rappresentare la sua preoccupazione. Confindustria, Abi, Ania, Assonime e Confcommercio hanno così indirizzato due lettere al Garante per la protezione dei dati personali e al Governo (destinatari: Dipartimento affari legislativi di PalazzoChigi e ministero della Giustizia), con lobiettivo di ottenere a beneficio delle imprese «le necessarie certezze applicative». Qualche prima risposta, in attesa di indicazioni compiute, potrebbe arrivare già oggi, nel corso del convegno che proprio Confindustria ospiterà a Roma per parlare della «Gdpr ai nastri di partenza».

Le missive esordiscono entrambe sottolineando un dato, relativo al Regolamento Ue sulla protezione dei dati personali: «La preoccupazione del mondo produttivo». Nonostante la sua «imminente operatività» (l’entrata in vigore è fissata il 25 maggio), infatti, il quadro normativo al quale le imprese dovranno fare riferimento è ancora caratterizzato da «incertezze». Soprattutto, pesa il «notevole ritardo registrato nell’attuazione della delega per l’adeguamento della disciplina nazionale». Il termine per approvare il decreto che dovrà integrare le regole europee nel sistema italiano è, infatti, il 21 maggio. Nonostante manchino solo dieci giorni alla scadenza, il testo non è ancora stato ufficializzato.

La sostanza, cioè, è che gli operatori si trovano davanti un perimetro di regole ancora in via di assestamento. E le difficoltà vengono accentuate «dall’ampiezza dell’intervento del Regolamento, che modifica radicalmente l’approccio richiesto ai titolari di trattamenti di dati personali». I dubbi rallentano le attività di compliance, già parecchio articolate, «con il rischio molto concreto di arrivare al prossimo 25 maggio senza averle ultimate o, comunque, senza avere le necessarie certezze applicative». Quindi, anche se c’è soddisfazione «per le attività di sensibilizzazione e di indirizzo che gli uffici» del Garante stanno portando avanti «per informare e orientare» gli operatori, serve uno sforzo ulteriore.

Le lettere esplicitano, allora, due richieste. La prima è diretta al Governo, pur «consapevoli delle difficoltà dovute alla particolare situazione politica del nostro paese». Considerando la prossima scadenza del 25 maggio, è necessario che «l’iter di attuazione della citata delega sia il più rapido possibile in modo da consentire a tutti gli operatori di adeguarsi pienamente alla nuova disciplina».

La seconda richiesta è diretta, invece, al Garante. E parte dalle dichiarazioni rilasciate proprio da Antonello Soro il 3 maggio scorso al Sole 24 Ore in merito «all’approccio equilibrato e pragmatico che l’Autorità intende adottare nell’accompagnare le imprese italiane in questa fase di transizione». Quelle parole, molto apprezzate, vanno tradotte in un atto più concreto:le associazioni auspicano, infatti, «un impegno formale, volto a improntare a criteri di gradualità e progressività lesercizio del potere sanzionatorio e i controlli che lAutorità svolgerà sullosservanza di nuovi adempimenti».

Un grave problema di sicurezza è stato scoperto nel modo in cui Twitter gestisce le proprie password ed il problema è improvvisamente deflagrato tra le mani del gruppo. A rischio ci sarebbero oltre 300 milioni di account, le cui password potrebbero essere finite nelle mani di malintenzionati e sfruttate in vario modo.

Onore alla trasparenza: in questo caso l’azienda ha gestito al meglio il problema segnalando immediatamente quanto accaduto, diramando i dettagli del bug e chiedendo ad ogni singolo utente di risolvere alla radice la situazione modificando la propria password di accesso. Rimangono tuttavia lecite perplessità per quanto accaduto: l’errore appare tanto superficiale da mettere in forse l’intera struttura di quello che è uno dei principali social network al mondo, probabilmente uno dei più utilizzati da personaggi noti e sicuramente quello più citato sui media mainstream.

Il bug che svela le password

Il problema, così come spiegato da Twitter nell’apposito post, è in un sistema di log interno che avrebbe archiviato in chiaro tutte le password degli utenti loggati. Sebbene il network sia programmato per nascondere le pass anche agli sviluppatori interni, ed a gestirle attraverso un meccanismo di hashing che nasconde la password in ogni passaggio, un file di log avrebbe archiviato le password stesse consentendo potenzialmente ad un malintenzionato di trafugarle in blocco.

Il gruppo spiega di aver trovato in proprio il bug senza il coinvolgimento di alcuno all’esterno dell’azienda: immediatamente il sistema che cela le password alla vista di terzi è stato corretto, eliminando i contenuti presenti nel log (i dettagli di qualcosa come 336 milioni di account) e mettendo in atto le necessarie operazioni affinché tale errore non possa più ripetersi in futuro. Al momento non si segnala alcun abuso del file contenente le password, il che dovrebbe lasciar dormire sonni tranquilli a milioni di utenti di tutto il mondo.

Per maggior cautela, Twitter chiede tuttavia a tutti di modificare la propria password, invalidando così l’eventuale furto di informazioni che possa essere malauguratamente accaduto e difendendo in modo proattivo il proprio account. Il gruppo consiglia altresì di abilitare il meccanismo di autenticazione a doppio fattore, cosa che consente una maggior garanzia sul controllo del proprio profilo.

«Ci spiace molto per quanto accaduto», chiude Twitter: «apprezziamo la fiducia che riponete nei nostri confronti e ci impegniamo al fine di guadagnarci questa fiducia ogni singolo giorno». Il consiglio per ogni singolo utente è quello di verificare il proprio account, modificare la propria password ed approfittare dell’occasione per adottare una password sufficientemente sicura.

L’esposto alla Federal Trade Commission americana assume valore anche per gli utenti italiani, non solo di YouTube ma anche dei social network che, come noto, trattano anche dati di minori con meno di 13 anni. Si dirà che i social network non hanno un obbligo di controllo preventivo. Lo ha ribadito la Corte di giustizia 
dell'Unione Europea con la sentenza del 16 febbraio 2012, causa C- 360/10.
Si legge nella motivazione che i filtri preventivi rappresenterebbero “una grave violazione della libertà di impresa del prestatore di servizi di hosting, poiché li obbligherebbe a predisporre un sistema informatico complesso, costoso, permanente e unicamente a sue spese”. 

Cosa dice la legge 
L'art. 8 del nuovo Regolamento UE 2016/679, che diventerà applicabile anche in Italia dal 25 maggio prossimo, prevede però - per tutte le piattaforme on-line - che “il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un'età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale”.

Affinché le disposizioni del nuovo Regolamento Ue non restino soltanto una petizione di principio occorre allora capire in che modo i social network saranno chiamati ad effettuare i controlli e se stanno già predisponendo dei sistemi per assicurarsi la verifica dell'età dei propri iscritti. Da parte delle autorità italiane, invece, c'è da vedere se verranno effettivamente eseguiti controlli, ispezioni e nel caso comminate le sanzioni previste, esattamente come avviene per tutte le aziende stabilite in Europa. I social network non fanno eccezione, dal momento che sono titolari dei dati personali degli utenti e hanno sedi anche in Europa dove avviene il trattamento dei dati di molti iscritti.

Gli esposti in Italia al Garante per la protezione dei dati personali 
In realtà anche in Italia sono stati presentati degli esposti per presunti trattamenti illeciti dei dati personali dei minorenni, addirittura ben prima che in America. A sollevare la polemica fu il caso dell'ebook delle donne single della provincia di Lecco e di Monza, messo in vendita la scorsa estate al costo di € 6,74 Iva Esclusa e che catalogava 1.218 profili di donne, anche minorenni. In quel caso venne presentato un esposto al Garante per la protezione dei dati personali per chiarire in che modo venissero trattati i dati degli utenti minorenni, ma le ispezioni alla sede europea di Facebook Ireland Ltd non vennero mai effettuate, né furono chiesti controlli o cambiamenti delle impostazioni che consentono ai minori in Italia di iscriversi ai social network.

A Key4biz l’Autorità per la protezione dei dati personali smentisce quanto riportato su Agendadigitale.eu, secondo cui il Garante privacy avrebbe congelato di 6 mesi le sanzioni alle aziende dopo l’entrata in vigore del Gdpr: ‘Il Garante non si è pronunciato su un ipotetico periodo di grazia’.

Diversamente da quanto pubblicato su Agendadigitale.eu, il Garante Privacy fa sapere di non “essersi pronunciato su un ipotetico periodo di grazia” durante il quale non sanzionerebbe le aziende che, a seguito di ispezioni, fossero inadempienti rispetto ai nuovi obblighi normativi introdotti dal Regolamento europeo. Per cui risulta falsa la notizia secondo cui l’Autorità per la protezione dei personali “ha congelato di 6 mesi le sanzioni alle aziende dopo l’entrata in vigore del Gdpr”. Key4biz l’Authority ha dichiarato “Non ci siamo pronunciati su un ipotetico periodo di grazia e il provvedimento citato non ha nessun nesso con il tema delle sanzioni”.

Il provvedimento in questione è quello del 22 febbraio 2018 “che riguarda due adempimenti richiesti dalla legge di Bilancio 2018 e non ha nessun legame con la questione delle sanzioni”, fanno ancora sapere dall’Autorità Garante Privacy.

Dunque dal 25 maggio non cambierà nulla in Italia rispetto a quanto già previsto. Il Regolamento generale in materia di protezione dei dati sarà, pienamente, efficace dal 25 maggio e l’avverbio ‘pienamente’ riguarda anche l’applicazione delle sanzioni perché il regolamento Ue 2016/679 è già in vigore dal 24 maggio 2016. Per essere chiari, in presenza, per esempio, di un nuovo scandalo Cambridge Analytica le sanzioni scatterebbero subito, il Garante Privacy non vuole affatto concedere proroghe.

 La nota ufficiale del Garante Privacy

Alle ore 12 è arrivata anche la nota ufficiale dell’Autorità: “Con riferimento all’articolo Gdpr, il Garante privacy rimanda di sei mesi controlli e sanzioni: che significa per le aziende, pubblicato oggi su Agendadigitale.eu,  è necessario precisare che non è vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie né il provvedimento richiamato nell’articolo attiene a tale materia. Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo fissata al 25 maggio 2018″.

Cosa dice il provvedimento del Garante Privacy del 22 febbraio 2018

Ad essere differite sono le specifiche indicazioni che il legislatore aveva previsto venissero inserite nel provvedimento, ma non certo le disposizioni del Regolamento, che si applicheranno inderogabilmente a partire dal 25 maggio.

Pertanto, proprio il differimento di tali specifiche indicazioni, evidenzia la piena e completa applicabilità del Regolamento in quanto tale.

L’esigenza del differimento serviva proprio ad avere un quadro più chiaro del complesso delle scelte ordinamentali che sarebbero state assunte con il decreto legislativo di adeguamento del nostro ordinamento interno al GDPR, evitando di rendere operative indicazioni eventualmente non pienamente conformi con il regolamento medesimo.

Si deve, quindi, ancora una volta ribadire la integrale applicazione del regolamento e delle conseguenti attività del Garante a decorrere dal 25 maggio.

In poche parole, proprio per evitare il rischio che ogni ulteriore indicazione potesse essere interpretata in modo da limitare la piena applicazione del regolamento, si è deciso di differire l’efficacia del provvedimento che le conteneva (a dopo l’approvazione del decreto legislativo che dovrà adattare il nostro ordinamento al GDPR). Tale differimento mostra quindi la piena e incontrovertibile applicabilità del GDPR e di tutte le funzioni che lo stesso assegna alle autorità di protezione dati.

A quanto ammontano le sanzioni previste dal Gdpr?

Chi non rispetta il regolamento rischia sanzioni fino a 20 milioni di euro o al 4% del fatturato internazionale annuo lordo.

Il grace period del Garante Privacy francese 

La fake news, sul congelamento per 6 mesi delle sanzioni da parte del Garante Privacy italiano, nasce dalla scelta dell’omologo francese di preferire il grace period.

Infatti il CNIL, la Data Protection Authority francese, ha annunciato un periodo durante il quale non saranno sanzionate le aziende che, a seguito di ispezioni, fossero inadempienti rispetto ai nuovi obblighi normativi introdotti dal Regolamento europeo 2016/679 – GDPR.

Si tratta del primo Stato membro che adotta una forma di flessibilità nei controlli sull’osservanza degli obblighi del nuovo GDPR (come la portabilità dei dati, l’esecuzione di Data Protection Impact Assessment).

Il comunicato del CNIL – qui consultabile–  identifica nei “primi mesi” la portata del grace period.

L’Autorità francese però pone delle condizioni. I titolari dovranno dimostrare:

  • di avere avviato un processo di GDPR compliance;
  • che il ritardo è accumulato in buona fede;
  • spirito di collaborazione con l’Autorità.

Rimarranno sanzionabili le condotte che violano i principi della normativa privacy nazionali, confermati dal GDPR (informativa, correttezza e pertinenza del trattamento, conservazione temporanea dei dati, messa in sicurezza).

Il nuovo giro di domande a Washington si è rivelato più difficile per il fondatore di Facebook, messo alle corde su dati, utenti, natura del social, e annuncia che le regole europee sulla privacy (Gdpr​) saranno un modello per il mondo 

Chi si aspettava una riedizione dell’audizione di ieri al Senatosi sbagliava. Mark Zuckerberg ha dovuto affrontare nel secondo giro di domande al Congresso questioni assai più delicate e affondi più duri. Più volte in difficoltà, ha dovuto affrontare questioni su come e quali dati degli utenti Facebook raccoglie e monetizza, dagli acquisti alle abitudini, con chi li condivide, come, ma anche sulla natura stessa di Facebook, sul suo business model, sul fatto che si comporti come media company, sulla sua responsabilità dei contenuti pubblicati. E a confermare una notizia: il nuovo regolamento della privacy dei dati (Gdpr​) che entrerà in vigore in Europa dal prossimo mese sarà esteso a tutto il mondo. 

"Sì, Cambrige Analytica ha avuto anche i miei dati"

Se l’audizione del Senato ha sorpreso per la leggerezza di alcune domande dei Senatori, che hanno lasciato Zuckerberg libero di muoversi e evitare di rispondere in maniera approfondita, nel secondo giorno a Capital Hill ha dovuto fare diverse ammissioni.

A partire dal fatto che i suoi stessi dati sono stati comprati da Cambridge Analytica insieme a quelli di altri 83 milioni di persone. Zuckerberg come un utente qualunque quindi, incapace come chiunque altro di bloccare l’accesso ai propri dati. Quanto tempo ci vorrà per indagare a chi siano finiti quei dati e se altri si sono comportati come l’app fatta da Aleksndr Kogan (thisisyourdigitalife), lo sviluppatore che poi li ha venduti a Cambridge Analytica? “Molti mesi”, ha risposto il fondatore di Facebook.
 

Regole e privacy: "Qualcosa deve cambiare, il Gdpr sarà esteso in tutto il mondo"

Di nuovo in abito, ma con una cravatta di un tono d'azzurro più scuro, Zuckerberg si è dovuto dimostrare davanti al Congresso assai sensibile al tema dei dati degli utenti. Ammette che arrivati a questo punto: “è inevitabile dare delle regole” all’economia di internet, rispondendo al deputato che gli chiedeva se non fosse un far west per le aziende. Le regole servono “sono disposto a delle regole, a patto che non limitino il business delle aziende e quello delle nuove startup”, ha detto. Il modello diventa il Gdpr, il General data protection regulation che entrerà in vigore in Europa dal prossimo mese: “lo estenderemo in tutto il mondo”, ha detto confermando direttamente quello che alcune riviste di settore avevano anticipato la scorsa settimana.  

"Quello che apprezzo del Gdpr", ha detto Zuckerberg, è che "consente agli utenti di essere sempre in controllo dei dati che condividono con le aziende, di cosa viene fatto con quei dati e eventualmente di cancellarli. Ci sarà anche un consenso speciale per quello che riguarda le tencologie del riconoscimento facciale degli utenti”. I legislatori europei sono i veri vincitori di questa audizione, e se non bastassero le parole di Zuckerberg a confermarlo ci pensano i rappresentanti del congresso che a più riprese gli chiedono se userà quelle regole anche per gli Stati Uniti.

"Cambiare il business model? Non so cosa voglia dire"

Ci sono questioni che Zuckerberg ha cercato di evitare, per quanto possibile. La più notevole è stata quella dei dati di navigazione degli utenti, che costituiscono il business model dell’azienda. Alla domanda se considera l’ipotesi di cambiare il proprio business model per proteggere la privacy degli utenti, risponde: “Non sono sicuro di cosa possa voler dire”.

Zuckerberg ha ammesso anche che “in generale (Facebook) raccoglie anche i dati di persone che non sono iscritte a Facebook per ragioni di sicurezza”, i cosiddetti 'shadow profile', confermando quanto emerso su alcune testate americane in queste settimane, ma mai ammesso dalla società. Zuckerberg in difficoltà anche su questo punto si salva solo perché il tempo della deputata che lo incalza finisce. Ma poi fa un'ammissione candida: alla domanda se la società non si fosse accorta che i propri dati erano stati venduti a terze parti e di aver appreso solo dai giornali del caso Cambridge Analytica risponde: “A volte ci capita”.

"Facebook non è una media company, ma è responsabile dei contenuti"

Per quanto riguarda il modello di Facebook, Zuckerberg ha inoltre ammesso che il social media è responsabile dei contenuti pubblicati sulla piattaforma e che quindi di fatto si comporta come una media company, anche se continua a negare questa natura: “Noi siamo una azienda tecnologica”, ha detto rispondendo ad un membro del congresso, “perché il nostro lavoro è principalmente fatto da ingegneri e ci rivolgiamo alle imprese. Ma ora so che siamo responsabili anche dei contenuti pubblicati sulla nostra piattaforma”, il che per certi versi equivale ad ammettere di esserlo.

Le 3 soluzioni al problema delle fake news

Il fondatore di Facebook ha anche detto che l’unica soluzione possibile alle fake news e ai discorsi d’odio sul social (hate speech) è la costruzione di “strumenti di intelligenza artificiale” più raffinati, in grado di controllare con più rigore i contenuti condivisi: “per quante persone possiamo assumere non saranno mai sufficienti a controllare tutto quello che viene pubblicato”. E spiega come Facebook ha intenzione di combattere le fake news con tre azioni già implementate: impedire a chi le diffonde di mettere contenuti a pagamento, costruire un sistema di intelligenza artificiale che riconosca e cancelli gli account, e una maggiore collaborazione con i fact checkers a cui sottoporre contenuti segnalati.

Alla fine Zuckerberg se la cava, e il titolo guadagna in borsa

Anche se le domande sono state più calzanti, e cattive, Zuckerberg in qualche modo se l'è cavata ancora. Le sue difficoltà sono emerse chiaramente, ma alla fine ha retto seppur scatenando molta ironia sui social network dove milioni di persone nel mondo seguivano l'audizione. Alla fine dell'audizione il titolo di Facebook al Nasdaq guadagna ancora: +0,6% su ieri, giorno della prima audizione, quando ha chiuso con un aumento del 4,6%. 

Partite in queste ore le notifiche a tutti gli utenti, per sensibilizzarli sulle impostazioni relative alle app, e a quelli coinvolti dall'indebita raccolta tramite il quiz psicologico al centro dello scandalo. Gli utenti italiani potrebbero essere più dei 214mila denunciati. Zuckerberg al Congresso Usa: ''Non abbiamo fatto abbastanza''

SEMBRANO essere più di quelli comunicati da Facebook. Gli utenti coinvolti dalla raccolta di dati tramite il quit 'This is your digital life', finiti poi nel tritacarne di marketing della società britannica Cambridge Analytica, non sarebbero 57 ma almeno 216. Stando almeno ai numeri che sarebbero in possesso del Garante per la protezione dei dati personali: Antonello Soro, proprio in queste ore, fa il punto sulla questione con i colleghi europei. Nel complesso, gli utenti italiani coinvolti potrebbero dunque essere ben più di quei 214.134 rivelati da Menlo Park. E a quanto pare sarebbero già saltati fuori i primi intrecci, utilizzi cioè di quelle informazioni per veicolare messaggi propagandistici ad hoc nel corso dell’ultima campagna elettorale.

Come fare, però, a rendersi conto se si è davvero finiti in quella rete? Per saperlo basta andare a questo link messo a disposizione da Facebook. Ma l'operazione trasparenza sarà duplice. Da una parte gli utenti, tutti, dovrebbero iniziare a visualizzare una notifica in cima alla loro bacheca che li renda più consapevoli delle applicazioni e dei servizi collegati al loro account Facebook e ai dati che queste app utilizzano e visualizzano. Questo per spingere le persone a occuparsi più da vicino delle proprie informazioni personali. Rimuovendo, nel caso, quelle che non usano più o trovano troppo invadenti. Adesso tutto dovrebbe essere più semplice.

Non solo: oltre all’avviso generico anche gli utenti toccati direttamente dall’indebita spremitura del loro profilo da parte del quiz messo a punto dall’analista Aleksandr Kogan dovrebbero ricevere una notifica specifica nella quale vengono informati che i loro dati sono stati utilizzati da una società di marketing politico senza il loro consenso e senza che ne fossero a conoscenza. Nulla da fare, insomma, per gli utenti: tutto dovrebbe avvenire automaticamente, sui loro newsfeed, sensibilizzandoli o, nel caso, avvisandoli della violazione.

Secondo 
Facebook gli utenti coinvolti sarebbero 87 milioni, un certo numero dei quali anche al di fuori degli Stati Uniti, dove le persone coinvolte sarebbero 70 milioni. Nel Regno Unito si parla per esempio di un milione di account.

Pagina 1 di 37

Cookies

I cookies sono piccoli file di testo creati da un server e sono memorizzati sul dispositivo utilizzato dall'Utente per la navigazione sul sito. Essi permettono al sito di garantire all'Utente tutte le funzionalità, una migliore e completa esperienza di navigazione, e di essere al corrente delle preferenze e dei comportamenti dell'utente. Sicurdata Srl utilizza due tipi di cookies, di sessione e persistenti.

I cookies di sessione consentono all'Utente l'esplorazione sicura ed efficiente del sito internet; questi cookies non vengono memorizzati in modo permanente sul dispositivo dell'Utente e si cancellano con la chiusura del browser. I cookies persistenti vengono trasmessi al dispositivo dell'Utente la prima volta che si collega al sito di Sicurdata Srl, e sono memorizzati sul dispositivo stesso. Sicurdata Srl utilizza cookies persistenti per memorizzare le preferenze dell'utente e di terze parti (Google Analytics) al fine di produrre statistiche di utilizzo del sito e per la scelta della lingua.

L'Utente può opporsi alla registrazione dei cookies sul proprio dispositivo configurando il browser usato per la navigazione: se utilizza il sito di Sicurdata Srl senza cambiare le impostazioni del browser, presupponiamo che vorrà ricevere tutti i cookies usati dal sito e fruire di tutte le funzionalità.

Newsletter

Iscrivendoti alla nostra mailing list sarai in grado di ricevere tutte le nostre ultime notizie.
Privacy e Termini di Utilizzo
Non preoccuparti, odiamo lo spam!

Contattaci

Rimaniamo in contatto