Privacy Point – Rassegna stampa Giugno 2024

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Il Garante della privacy suggerisce le misure di contenimento dell’estrazione di dati dal web

Il web scraping è la raccolta indiscriminata di dati personali su internet, effettuata da terzi, con lo scopo di addestrare i modelli di Intelligenza artificiale generativa. I dati interessanti vengono salvati localmente in maniera strutturata e usufruibile. Un esempio di utilizzo è dato dalle piattaforme che comparano i prezzi degli hotel.

L’articolo Web scraping: un’analisi del provvedimento del Garante Privacy informa circa il provvedimento n. 329 del 20 maggio 2024 del Garante della privacy, che contiene indicazioni, rivolte senza obbligo ai titolari di siti, per difendere dal web scraping i dati personali pubblicati online. Nell’eventualità, quindi, si tratta di creare aree riservate, accessibili solo previa registrazione, in modo da sottrarre i dati dalla pubblica disponibilità; inserire clausole anti-scraping nei termini di servizio dei siti; monitorare il traffico verso le pagine web per individuare eventuali flussi anomali di dati in entrata e in uscita bloccando i bot (cioè quei programmi “intelligenti” che accedono i siti web come farebbe un utente umano).

La scelta sull’adozione o meno di tali misure è demandata all’accountability dei titolari dei siti, che dovrebbero decidere in base al principio di proporzionalità, per esempio in base alla tecnologia disponibile e ai costi di attuazione [nonché alla “sensibilità” dei dati contenuti nei siti. Ndr]

Il web scraping non è di per sé illegale, se cattura solo dati liberamente accessibili sui siti e li utilizza per scopi statistici o di monitoraggio dei contenuti. Vi sono, anzi, siti che mettono a disposizione API (Application Programming Interface) utilizzabili proprio per estrarre automaticamente i dati e altre informazioni utili. Tuttavia non tutti i dati sono destinati al pubblico, come i dati personali o informazioni di proprietà intellettuale ed anche l’utilizzo può non essere conforme ai requisiti del GDPR; ad esempio il disporre di una lista di email non comporta affatto di poter inviare messaggi pubblicitari senza aver prima avuto il consenso degli interessati. In questi casi il web scraping è illecito.

Anche i titolari dei siti devono porre attenzione alla protezione dei dati personali, impedendo che possano essere estratti (in riferimento, per esempio, alle informazioni relative agli utenti di un host web). Le misure suggerite dal Garante per per prevenire o mitigare il web scraping non autorizzato, pur senza poterlo impedire completamente, sono le seguenti.

1. Creazione di Aree Riservate, accessibili solo previa registrazione, è una misura organizzativa volta a limitare la disponibilità pubblica dei dati, da implementare nel rispetto del principio di minimizzazione dei dati.
2. Inserimento di Clausole nei Termini di Servizio dei siti web, che vietano esplicitamente l’uso di tecniche di web scraping; ciò che costituisce una misura preventiva di natura giuridica, non tecnica.
3. Monitoraggio del Traffico di Rete per identificare flussi di dati anomali, che indicano possibili attività di scraping; si può limitare il numero di richieste da indirizzi IP specifici, contribuendo a prevenire attacchi DDoS o scraping eccessivo.
4. Intervento sui Bot per limitarne l’accesso, con una delle seguenti tecniche
   • verifiche CAPTCHA, che richiedono un’azione umana
   • modifica periodica del codice HTML delle pagine web (rende più difficile il riconoscimento dei dati)
   • Incorporazione dei contenuti in oggetti multimediali, per cui i dati non possono essere estratti se non ricorrendo a tecnologie OCR (riconoscimento ottico dei caratteri).

Tecnologie più efficaci potrebbero essere la crittografia avanzata e tecniche di privacy differenziale, in modo da proteggere i dati personali sensibili, senza limitare l’uso di altre informazioni lecite per l’addestramento di modelli di intelligenza artificiale.

L’etica nella privacy è il rispetto consapevole dei requisiti del GDPR, verificabili anche attraverso Modelli di Maturità

Secondo l’articolo Etica dei dati e responsabilità d’impresa nell’era digitale: tra la teoria e la pratica il passo non è breve, la protezione dei dati personali ha avuto negli ultimi anni un pesante impatto sulle aziende, in particolare quelle di sviluppo software, a causa del rapido sviluppo normativo e tecnologico. A livello europeo e mondiale sono entrate in vigore molte norme [troppe, Ndr], sia in ambito protezione dei dati che cybersecurity, spesso non uniformi e non omogenee, che hanno richiesto nuove competenze e comportato un notevole sforzo interpretativo e applicativo. Dal punto di vista tecnologico, l’aspetto più significativo è stato il passaggio dalle applicazioni “on premises” ai servizi “on cloud”, ciò che ha richiesto nuovi modelli di architettura e sviluppo del software.

In questo ambito, l’etica consiste in pratica, senza stare a ripetere una lista di requisiti, nella volontà di produrre e commercializzare soluzioni conformi alle norme, a partire dal GDPR, che include la protezione e quindi la sicurezza delle informazioni di carattere personale.

L’articolo cita infine un Modello di Maturità per la protezione dei dati, proposto dall’Autorità garante francese, a sua volta ispirato al Privacy Maturity Model americano/canadese. Il modello è utilizzabile per monitorare il proprio livello di compliance e cogliere le opportunità di miglioramento nei trattamenti dei dati personali.

I dati biometrici sono da considerare in ogni caso come dati personali sensibili

L’articolo “Cassazione: confermata la sanzione inflitta dal Garante Privacy all’Università Bocconi per illegittimo utilizzo dei dati biometrici degli studenti” illustra una disposizione del Garante (da cui è derivata una sanzione di 200’000 €), prima quasi totalmente annullata dal tribunale, ma poi riconfermata in cassazione.

Si tratta dell’utilizzo del riconoscimento automatico, attraverso le immagini video, di comportamenti sospetti degli studenti nel corso di esami a distanza. Nonostante la decisione sull’eventuale inammissibilità dei comportamenti degli esaminandi fosse deputata ad un docente, il Garante ha contestato l’utilizzo di dati biometrici (i quali appartengono alla categoria particolare -sensibile- dei dati personali). La Corte di cassazione ha confermato che il trattamento avveniva attraverso un dispositivo tecnico specifico che consente l’identificazione univoca della persona fisica. Inoltre, l’elaborazione automatica costituiva un autonomo e articolato trattamento dei dati biometrici.

[L’articolo non precisa se l’università avesse o meno provveduto in via preliminare a fornire un’informativa completa ed a recepire i consensi al trattamento dagli interessati. Ndr]

Intelligenza artificiale, da gestire anche in termini etici per il rispetto della privacy

Con l’articolo Privacy e Intelligenza Artificiale: vademecum per una guida etica all’uso responsabile della tecnologia, l’autore propone alcuni punti, ispirati al Regolamento UE sull’AI ed alle Linee guida etiche per un’IA affidabile, per un utilizzo responsabile ed etico dell’intelligenza artificiale, visto che alle grandi opportunità che essa offre si affiancano rischi significativi in termini di privacy e sicurezza delle informazioni.

Sono considerati quattri tipi di attori coinvolti nell’utilizzo dell’AI:

1. Aziende utilizzatrici finali: quelle che adottano l’AI, sviluppata internamente o acquisita all’esterno, per migliorare i propri processi, prodotti e/o servizi.
2. Configuratori di software AI: chi, senza sviluppare nuovi software, personalizza e configura soluzioni già disponibili per adattarle alle esigenze aziendali (es. per migliorare un riconoscimento vocale rispetto ad inflessioni dialettali).
3. Sviluppatori di software AI: programmatori che incorporano, nelle loro applicazioni software, algoritmi di AI preesistenti (es. nell’utilizzo di algoritmi di machine learning per analizzare i dati dei clienti e prevedere a quali prodotti siano più interessati).
4. Sviluppo di algoritmi di apprendimento: esperti che sviluppano nuovi algoritmi di machine learning e deep learning (es. un deep learning per il riconoscimento di immagini particolari).

Le migliori pratiche di utilizzo dell’AI dovrebbero quindi essere adottate in reazione al ruolo di cui sopra in cui ci si riconosce. Gli aspetti da considerare sono i seguenti.

• trasparenza verso gli utenti con comunicazioni chiare su funzionalità, capacità, limitazioni e rischi; apertura del codice sorgente ad audit esterni e, possibilmente, ad altri ricercatori per favorire un miglioramento globale
• equità, evitando forme di discriminazione dovute ad errori, attraverso test regolari del processo e l’utilizzo di dati di addestramento diversificati (per es. per rappresentare correttamente gruppi demografici differenti)
• rispetto della privacy e protezione dei dati personali, utilizzando solo quelli strettamente necessari per la finalità (minimizzazione) e adottando pratiche di sicurezza (come la crittografia, il controllo degli accessi, il monitoraggio dei processi e degli eventi)
• definizione delle responsabilità, oltre a quella del titolare del trattamento dati personali, per decisioni e interventi, controllo delle prestazioni e della sicurezza, aggiornamenti e manutenzione periodici
• miglioramento dell’impatto sociale, per il benessere e per l’ambiente (ottimizzazione delle risorse, riduzione dei consumi, finalità rivolte al bene delle persone)
• possibilità per gli utenti di ricorrere rispetto a decisioni che li penalizzano e richiedere eventualmente la revisione degli algoritmi; qualsiasi processo automatizzato [di AI o non di AI] necessita di essere supervisionato da un intervento umano significativo [in ogni caso, sarebbe opportuno che qualsiasi decisione, anche presa dall’AI in via di scrematura preliminare, con conseguenze finali negative per gli interessati fosse loro resa nota. Ndr]
• offerta di formazione e di risorse educative agli utenti dell’AI, per un suo utilizzo più sicuro, ai dipendenti e ai tecnici impegnati in ambito AI, non solo da un punto di vista operativo ma anche etico.

E’ necessario che ognuno degli aspetti sopra elencati rientri nella pratica quotidiana e sia oggetto di revisione periodica in ordine ad un miglioramento continuo.

In arrivo uno strumento gratuito per la conforrmità al GDPR delle aziende

L’articolo PMI, un tool gratuito per verificare la conformità alla disciplina sulla privacy informa che a settembre sarà rilasciato lo strumento Olivia (“general data protection regulation on Virtual Assistant”), a cura del progetto europeo ARC, di cui il Garante della privacy è partner.

Attraverso la relativa piattaforma, sarà disponibile una serie di moduli di apprendimento (anche mediante seminari video registrati) sui principi del GDPR e su vari argomenti, quali le basi giuridiche del trattamento dei dati personali, la gestione dei cookie e l’utilizzo di sistemi di videosorveglianza.

Fornirà i modelli per la valutazione di impatto sulla protezione dei dati e per la valutazione del legittimo interesse del titolare.

Questo Strumento sarà utilizzabile gratuitamente, previa iscrizione alla piattaforma.

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

La Direttiva NIS II: applicabilità, obbligo di notifica e altri requisiti

L’articolo “NIS 2: prima denuncia degli attacchi informatici entro 24 ore”, al di là del titolo limitativo, offre una rapida panoramica relativa alla Direttiva NIS II (Direttiva UE 2022/25555), [“relativa a misure per un livello comune elevato di cybersicurezza nell’Unione”, che sarà obbligatoria per i soggetti interessati dal 18/10/2024; ndr] recepita dal Consiglio dei Ministri con d.lgs del 10/06/2024.

Le tipologie delle imprese e le P.A. interessate, classificate in “soggetti essenziali” e “soggetti importanti”, sono quelle elencate negli allegati alla direttiva rispettivamente sui SETTORI AD ALTA CRITICITÀ e su ALTRI SETTORI CRITICI.

Alle aree ad alta criticità appartengono i settori energia, trasporti, entità finanziarie, sanità e infrastrutture digitali. All’area delle altre criticità appartengono i settori di servizi postali, gestione rifiuti, imprese del settore chimico e del settore alimentare, fabbricazione dispositivi medici, apparecchiature elettriche, macchinari, computer, fornitura servizi digitali, organizzazioni di ricerca.

[Per la precisione, i soggetti sono “essenziali” se appartengono a settori ad alta criticità e superano i massimali per le medie imprese, o sono definiti “critici” dalla Direttiva 2022/2557 sulla resilienza, o sono definiti essenziali dallo Stato, o forniscono determinati servizi di o per comunicazioni elettroniche, o sono enti pubblici appartenenti all’amministrazione centrale dello Stato; i soggetti sono “importanti” se non essendo essenziali appartengono comunque a settori ad alta criticità, oppure appartengono agli altri settori critici o sono definiti essenziali dallo Stato. Ndr].

La direttiva in oggetto prevede, a carico dei soggetti essenziali e dei soggetti importanti, una serie di doveri, la cui inosservanza può dar luogo a sanzioni pecuniarie.

Uno dei compiti riguarda la segnalazione degli incidenti informatici al CSIRT Italia (gruppo di gestione degli incidenti di sicurezza informatica, presso l’agenzia per la cybersicurezza nazionale) [il sito web del COMPUTER SECURITY INCIDENT RESPONSE TEAM – ITALIA elenca attacchi, vulnerabilità, fornisce guide e pubblicazioni e dà la possibilità di inserire le segnalazioni. Ndr]. Le segnalazioni devono avvenire

– con una pre-notifica tempestiva e comunque entro 24 ore dalla presa di conoscenza dell’incidente,

– con una notifica comprendente valutazione della gravità e dell’impatto, entro 72 ore.

A seconda del caso, dovranno essere avvisati anche gli utenti dei servizi interessati dall’incidente.

Se l’incidente coinvolge dati personali, può scattare anche l’obbligo di notifica al Garante. Eventuali sanzioni del Garante e dell’organo di controllo della Direttiva NIS 2 non potranno sovrapporsi.

Gli adempimenti richiesti dalla direttiva comprendono peraltro molti altri aspetti, quali la pianificazione delle misure di sicurezza, la formazione del personale e degli organi di vertice, l’adozione di misure tecniche e organizzative. Tra queste vi sono l’incremento dell’uso della crittografia e delle garanzie di continuità operativa, l’uso delle specifiche tecniche elaborate dall’ENISA [European Union Agency for Cybersecurity], l’approvvigionamento di servizi e prodotti certificati, la sicurezza dei fornitori di servizi degli enti elencati negli allegati alla direttiva [Allegato I: fornitori dei settori Infrastrutture digitali e Gestione dei servizi TIC (business-to-business); Allegato II: fornitori del settore Servizi postali e di corriere. Ndr]

La cybersecurity deve rivolgere la propria attenzione all’ambiente cloud

[L’affermazione nel titolo dell’articolo “I dati sul cloud sono diventati i principali bersagli degli attacchi informatici” non desta meraviglia, vista il progressivo spostamento delle attività informatiche delle aziende dai supporti locali al cloud. Ndr]

Secondo il rapporto annuale della Thales, gli attacchi cloud risultano così distribuiti: 31% alle applicazioni SaaS (Software as a Service), 30% al cloud storage, 26% all’infrastruttura di gestione del cloud.

Ben il 44% delle aziende intervistate ha subito violazioni delle informazioni sul cloud e il 14% ha subìto le conseguenze dell’incidente. E’ interessante vedere cosa ha permesso le violazioni: errori umani o di configurazione per il 31%, sfruttamento delle vulnerabilità per il 28% e mancata autenticazione multi fattore degli accessi per il 17%.

Da ciò deriva l’esigenza di conoscere, prima di tutto, i propri dati sensibili o confidenziali archiviati in cloud, gestire le chiavi usate per la crittografia, registrare e monitorare gli accessi ai dati [individuare e correggere le proprie vulnerabilità, affidarsi a un partner cloud solido e sicuro, adottare le protezioni della propria infrastruttura per l’accesso al cloud e quant’altro. Ndr].

Usa: l’amministrazione Biden mette al bando l’antivirus Kaspersky per ragioni di sicurezza nazionale

L’articolo “Usa: l’amministrazione Biden mette al bando l’antivirus Kaspersky per ragioni di sicurezza nazionale” informa che il BIS (Bureau of Industry and Security) del Dipartimento del Commercio statunitense ha vietato la vendita dell’antivirus e altri prodotti di Kaspersky, “a causa delle capacità informatiche offensive del governo russo e della capacità di influenzare o dirigere le operazioni di Kaspersky”.

Le aziende che utilizzano il software Kaspersky sono “fortemente incoraggiate” a passare rapidamente a nuovi fornitori, assumendosi altrimenti tutti i rischi di cybersicurezza.

Il Dipartimento della Sicurezza Nazionale americano aveva già preso provvedimenti contro Kasperky nel 2017.

La società russa ha replicato, tra l’altro di ritenere che “il Dipartimento del Commercio abbia preso la sua decisione sulla base dell’attuale clima geopolitico e di preoccupazioni teoriche, piuttosto che su una valutazione completa dell’integrità dei prodotti e dei servizi Kaspersky”.

[E’ possibile e plausibile, infatti, che Kaspersky sia una vittima delle azioni del governo russo, a partire dall’invasione dell’Ucraina; tuttavia sono comprensibili le ragioni prudenziali, che hanno portato, tra l’altro già da tempo, aziende italiane a sostituire il proprio antivirus. Ndt]

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Il telepass non può essere utilizzato per controllare i dipendenti

Da una sentenza della Corte di cassazione, in riferimento all’Art. 4, comma 3, dello Statuto dei Lavoratori emergono le considerazioni che seguono, come cita l’articolo “Il Telepass usato dal dipendente non è uno strumento da usare per i controlli difensivi”.

L’utilizzo dei dati dei transiti registrati dal Telepass aziendale, anche se rilevati dalle fatture emesse da terzi, così come quelli di geolocalizzazione del computer fornito dall’azienda, si configura come controllo a distanza sull’attività del lavoratore.

Di conseguenza, escludendo una finalità di “controllo difensivo in senso stretto” [cioè diretto ad accertare specifiche condotte illecite ascrivibili, in base a indizi concreti, a singoli lavoratori; ndr], affinché tale utilizzo sia ammissibile per una difesa (da parte dell’azienda) è necessario che sia stata preventivamente “data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.”. [Non sussiste l’obbligo di accordo sindacale o autorizzazione dell’Ispettorato del Lavoro, previsto dal comma 1, in quanto è il caso di strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa (comma 2). Ndr]

Diverso è il caso di controllo difensivo in senso stretto, che scaturisce a seguito di un fondato sospetto circa la commissione di un illecito da parte del lavoratore, per cui l’utilizzo in questione potrebbe essere effettuato senza una previa e adeguata informativa.

Se i lavoratori devono entrare in area videosorvegliata è necessario recepire preventivamente l’accordo sindacale o l’autorizzazione INL

L’articolo “Se l’azienda assume lavoratori la videosorveglianza è da disattivare fino all’autorizzazione” evidenzia il caso di videosorveglianza messa in atto nei locali aziendali, per la tutela del patrimonio aziendale, in assenza di lavoratori, per cui non sono previsti accordi, né autorizzazioni.

Nel momento in cui l’azienda dovesse assumere lavoratori [evidentemente con accesso a detti locali], si rientrerebbe nell’applicazione dell’Art. 4 dello Statuto dei Lavoratori (legge 300/1970) per cui tale videosorveglianza costituirebbe un controllo a distanza dei lavoratori stessi. Tale controllo, se pur esigenze organizzative e produttive, sicurezza del lavoro, oltre che di tutela del patrimonio aziendale, richiederebbe un preventivo accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro. Nelle more di tali accordo o autorizzazione ed essendo già avvenuta l’assunzione del personale, l’impianto di videosorveglianza dovrebbe essere immediatamente disattivato, potendo poi riattivarlo ad accordo siglato o autorizzazione ricevuta.

[L’articolo ricorda anche che la mancata risposta alla richiesta presentata all’INL non può essere interpretata secondo la formula del “silenzio assenso”.]

Il provvedimento definitivo circa il trattamento dei metadati delle email

Il Garante della privacy ha rielaborato il proprio provvedimento circa i metadati delle email aziendali, a seguito della consultazione pubblica avviata dopo i dissensi sorti a seguito della pubblicazione della precedente versione. L’articolo Raccolta e conservazione dei metadati delle email aziendali, varato il documento di indirizzo riporta parte delle indicazioni del Garante.

La premessa è che alcuni programmi e servizi informatici per la gestione della posta elettronica, anche quando forniti in modalità cloud, raccolgono per impostazione predefinita, in modo preventivo e generalizzato, i metadati (detti anche log di posta elettronica) relativi all’utilizzo degli account email aziendali da parte dei dipendenti.

L’invio, la ricezione e lo smistamento dei messaggi di posta elettronica, comporta in genere la memorizzazione degli indirizzi email del mittente e dei destinatari, degli indirizzi IP del server e del client coinvolti, del giorno e orario del messaggio, della sua dimensione, dell’oggetto, delle dimensioni di eventuali allegati. Sono questi i metadati che vengono conservati e certi provider di posta non consentono al datore di lavoro [i cui amministratori di sistema gestiscono le impostazioni del dominio cui fanno capo gli account aziendali; ndr] di definire il loro periodo di tempo di conservazione.

I metadati sono automaticamente prodotti nell’interazione tra i diversi server coinvolti e con i client (i terminali degli utenti) e sono, in parte, indispensabili per il funzionamento della posta elettronica ed inoltre utili per la sicurezza della rete e delle informazioni.

La trasmissione delle email avviene attraverso software detti Mail Transfer Agent, o Message Transfer Agent (MTA) [o mail Server], che utilizzano il protocollo SMTP [Simple Mail Transfer Agent) . Il software utilizzato per leggere ed inviare le email, cioè il “client di posta”, come Gmail o Outlook, è detto Mail User Agent (MUA). Sono questi software che generano i log di posta elettronica. Maggiori dettagli nell’articolo originale.

I metadati, pur non comprendendo mai il testo, o più in generale, il contenuto o “corpo” (o “body-part”) dei messaggi, possono fornire informazioni sulle attività e sulle comunicazioni dei dipendenti, costituendo un monitoraggio degli stessi, se raccolti e conservati indiscriminatamente.

Il Garante ha quindi inteso fornire indicazioni affinché non sia violata la privacy dei lavoratori, a fronte di una maggior consapevolezza dei lavoratori, nel rispetto dei principi di limitazione delle finalità, minimizzazione dei dati privacy by design e by default.

Tuttavia è indispensabile distinguere [cosa che non veniva fatta nel precedente provvedimento sui metadati; ndr] tra i metadati prodotti e registrati sistematicamente ed automaticamente (nei log dei server di posta) dai sistemi di posta elettronica, indipendentemente dalla percezione e dalla volontà dell’utente, e le informazioni comunque contenute nell’ “envelope” della email che contiene le informazioni tecniche, relative all’instradamento e alla provenienza del messaggio, e altri parametri tecnici. L’esempio di envelope riportato dall’articolo contiene: destinatari, mittente, data e orario ed oggetto. I metadati cui si riferisce il Garante sono quelli dei log registrati nei server di posta; non riguardano le informazioni contenute nei messaggi stessi e quindi nelle “envelope”, informazioni che non possono essere scisse dai messaggi di cui sono parte integrante e che rimangono nella disponibilità e sotto il controllo esclusivo del mittente e del destinatario [all’interno della propria casella di posta].

Viene precisato che il provvedimento del Garante si limita ad adottare un documento di indirizzo, il quale non comporta nuovi adempimenti, prescrizioni o responsabilità [fa però riferimento a leggi, regolamenti e provvedimenti vincolanti; ndr].

Per garantire il corretto funzionamento e l’uso regolare del sistema di posta elettronica, inclusa la sicurezza informatica, non è necessario attivare la procedura di garanzia prevista dall’art. 4, comma 1, della legge 20/5/1970, n. 300 [lo Statuto dei Lavoratori],  [cioè non è necessario ricorrere ad un accordo sindacale o all’autorizzazione dell’Ispettorato nazionale del lavoro, considerando la posta elettronica strumento utilizzato dal lavoratore per rendere la prestazione lavorativa (art. 4, comma 2); ndr].

Il Garante si rivolge ai fornitori dei servizi di posta elettronica invitandoli a considerazione il diritto alla protezione dei dati, conformemente allo stato dell’arte, già in fase di progettazione di servizi e prodotti. 

Si rivolge ai datori di lavoro, affinché i messaggi di posta elettronica sia gestiti in conformità con il GDPR ed il Codice Privacy (d.lgs 196/2003), e in conformità con le “Linee guida per posta elettronica e Internet” del 1° marzo 2007, da cui

– Uso conforme della posta elettronica aziendale
– Regolamentazione dell’accesso a Internet
– Monitoraggio proporzionato e trasparente
– Misure di sicurezza per proteggere i dati
e con il Provvedimento del 4 dicembre 2019, n. 216, da cui
– Conformità con GDPR e normative nazionali
– Limitazione e protezione dei metadati delle email
– Trasparenza e informazione agli utenti
– Adozione di misure di sicurezza tecniche e organizzative.

Tra le misure di sicurezza, l’articolo cita crittografia nel trasferimento e storage, autenticazione robusta, firewall, aggiornamento di software e antivirus, valutazione dei rischi, piani di risposta agli incidenti.

Il Garante ha precisato che le informative privacy agli utenti devono includere finalità e modalità di trattamento dei metadati. Le aziende devono garantire che i dati personali siano trattati in modo lecito, corretto e trasparente, rispettando i diritti degli interessati.

[Mentre la fonte di questo articolo è “Il Sole 24 Ore – Raccolta e conservazione dei metadati delle email aziendali, varato il documento di indirizzo”, a cura dell’Avv. Alberto Bozzo, per il proseguimento della disamina del provvedimento del Garante, l’articolo rimanda al “Il Sole 24 Ore – Metadati delle email aziendali, liceità del trattamento, conservazione proporzionata e ruolo del DPO”, che al momento non è liberamente disponibile. A questo punto, si tenta di proseguire in base al testo del documento di indirizzo edito dal Garante. Ndr]

Riguardo ai trattamenti effettuati dai <<predetti programmi e servizi informatici>> sui dati comportanti la possibile identificazione ed il controllo degli utenti nel contesto lavorativo [e qua si ritiene che il Garante si riferisca ai log conservati dei metadati; ndr] è necessario che il titolare del trattamento / datore di lavoro verifichi la liceità del trattamento anche in base alle leggi dello Stato, come previsto dall’Art. 88 del GDPR, leggi che possono prevedere anche responsabilità penali. [Il Garante cita, come più specifici, gli art. 113 e 114 del Codice Privacy (L. 196/2003), che peraltro sono stati abrogati col D.Lgs 101/2018].

Il titolare, secondo il Garante, deve valutare, in base alla propria accountability e tramite una valutazione di impatto, se questi trattamenti possono comportare un rischio elevato per i diritti e le libertà degli interessati, considerando le tecnologie impiegate, le finalità definite (circa organizzative, produttive, di sicurezza sul lavoro e di tutela del patrimonio aziendale) e la vulnerabilità degli interessati, e deve fornire una preliminare informativa chiara e trasparente.

Il Garante, affinché, secondo l’art. 4, comma 2 dello Statuto dei Lavoratori, sia applicabile [ai log dei metadati e al loro trattamento] l’esclusione della necessità di accordo sindacale o autorizzazione INL (art. 4, comma 1), ritiene che la <<raccolta e conservazione dei soli metadati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica>>, debba limitarsi a pochi giorni, definendo in 21 giorni detto limite, secondo il principio di responsabilizzazione [e minimizzazione e conservazione; ndr]. Aggiunge che, per applicare un periodo di conservazione maggiore (sempre nell’ambito di detta finalità), vi dovrà essere la <<presenza di particolari condizioni …, comprovando adeguatamente … le specificità della realtà tecnica e organizzativa>> e si dovranno assicurare la <<limitazione delle finalità, l’accessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi>>.

Il Garante sottolinea che contenuto, allegati e dati esteriori (metadati) dei messaggi di posta elettronica richiedano tutele di riservatezza ed affronta, poi, la possibilità che i dati personali riferibili agli interessati siano ulteriormente trattati (anche solo in ordine alla frequenza di contatto), per cui, oltre a verificare la liceità del trattamento, vige il divieto di effettuare, anche a mezzo terzi, indagini su fatti che esulino dalla pura valutazione dell’attitudine professionale del lavoratore (art. 8 dello Statuto dei Lavoratori). 

Tra le altre cose, il Garante precisa che spetta al titolare del trattamento verificare con la dovuta diligenza che i programmi e servizi informatici di gestione della posta elettronica in uso ai dipendenti – specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service – consentano al datore di lavoro, di poter modificare le impostazioni di default, impedendo la raccolta dei metadati o contenendola entro il previsto limite di conservazione.

No al riconoscimento facciale e attenzione alla registrazione di dettagli sull’attività lavorativa

L’articolo Riconoscimento facciale: il Garante della privacy sanziona una concessionaria per controllo illecito delle presenze dei dipendenti riveste interesse perché ricorda, qualora e ne fosse bisogno, due requisiti privacy.

L’utilizzo di sistemi di riconoscimento facciale non è ammesso, in mancanza di leggi specifiche, neppure  in caso di consenso dei dipendenti interessati, in quanto sarebbe conferito in una posizione di debolezza nei confronti del datore di lavoro.

Inoltre è stato giudicato che la raccolta di dati, introdotti dagli stessi lavoratori, relativamente alle attività eseguite, ai tempi e alle modalità di esecuzione, ai tempi di inattività e relative cause, deve essere supportato da un’idonea base giuridica e da un’adeguata informativa, anche se il successivo trattamento è di aggregazione con eliminazione dei dati personali prima della trasmissione alla capofila dell’azienda.

IN BREVE, DALL’ITALIA E DAL MONDO

Una convenzione internazionale per il rispetto dei diritti delle persone nell’uso dell’Intelligenza Artificiale

L’articolo Consiglio d’Europa, trattato internazionale giuridicamente vincolante per garantire che l’intelligenza artificiale rispetti i diritti umani informa che il 17 maggio 2024, il Consiglio d’Europa ha adottato il primo trattato internazionale giuridicamente vincolante per garantire il rispetto delle norme sui diritti umani, la democrazia e lo stato di diritto nell’uso dei sistemi di intelligenza artificiale, affrontando i rischi che possono scatuirire in tutto il loro ciclo di vita, pur promuovendo un’innovazione responsabile.

Una convenzione per l’adesione al trattato potrà essere firmata, il prossimo 5 novembre, non solo dai 46 paesi membri dell’UE, ma anche da 11 stati non membri (Argentina, Australia, Canada, Costa Rica, Giappone, Israele, Messico, Perù, Santa Sede, Stati Uniti d’America e Uruguay).

La norma europea EN 17740, sui profili professionali relativi al trattamento e alla protezione dei dati personali, manda in pensione l’ormai obsoleta italiana UNI 11697

La norma UNI 11697:2017, che definiva i profili professionali relativi al trattamento e alla protezione dei dati personali, è stata ritirata [il 24 aprile 2024]. Tra questi profili c’era quello del DPO; tuttavia un’esigua minoranza (lo 0,7 %) dei DPO notificati in Italia al Garante della privacy, avevano ottenuto questa certificazione.

Secondo l’articolo Solo lo 0,7% dei Data Protection Officer certificati con la UNI 11697:2017, ma ora le norme tecniche provano la strada europea, le ragioni sono la complessità dei requisiti per una certificazione non obbligatoria che non costituisce neppure un “titolo abilitante”, il mancato aggiornamento rispetto al susseguirsi di nuovi atti normativi e legislativi, l’impronta prettamente informatica per il DPO mentre il GDPR richiede conoscenze giuridiche specialistiche, la coesistenza di attestazioni di certificazioni di Privacy Officer e Consulente della Privacy da parte di enti indipendenti.

Il ritiro della UNI 11679 coincide con l’entrata in vigore della UNI CEI EN 17740:2024 che recepisce la EN 17740:2023. Quest’ultima prevede un profilo professionale in più rispetto ai quattro dellla vecchia norma UNI. Avrà probabilmente maggior seguito, in quanto aggiornata e con valenza europea, anziché solo italiana, anche se rimangono molto elevati i requisiti sulle conoscenze informatiche e, in ogni caso, non potrà costituire una “patente di DPO”. Inoltre, ha ancora il grosso limite di pretendere  il possesso di una laurea che includa discipline giuridiche o informatiche, almeno 6 anni di esperienza nel settore della protezione dei dati, (per chi non possiede una laurea gli anni di esperienza richiesti salgono a 8), e la partecipazione ad un percorso formativo specialistico di almeno 80 ore.

Il like su un social potrebbe contribuire alla diffusione di fake-news

[Questo articolo, “Attenzione a non diventare complici di campagne di disinformazione”, non ha un’attinenza diretta con le imprese ed il mondo del lavoro, tuttavia può essere opportuna la sua diffusione, per il valore sociale delle affermazioni del Presidente di FEDERPRIVACY, sotto integralmente riportate. Ndr]

<< Con le nuove tecnologie, individui senza scrupoli sono in grado di confezionare e diffondere online video in cui si vedono candidati politici che fanno affermazioni sensazionalistiche con parole che però non hanno mai pronunciato. E questi filmati possono avere una diffusione dirompente diventando rapidamente virali a causa di migliaia di like e condivisioni sui social da parte di utenti che, spinti da indignazione o trascinati dall’emotività di quello che sembra un clamoroso scoop diventano involontariamente complici di massicce campagne di disinformazione. >>

<< prestare molta attenzione prima di condividere online video, immagini, meme satirici, o news che generano clamore, verificandone prima la fonte, l’attendibilità e l’accuratezza, nonché l’effetto che potrebbero generare sugli altri utenti che abbiamo tra i nostri amici sui social, i quali potrebbero a maggior ragione essere indotti a pensare che certe notizie siano vere proprio perché siamo stati noi i primi a metterci un like o a condividerle online. >>

Aggiornamento della legge sui reati digitali

L’articolo Il Ddl cybersicurezza è legge informa che sono stati modificati i codici penale con l’inasprimento delle pene per i reati informatici e l’obbligo, per le amministrazioni, di avere un responsabile della cybersicurezza e di segnalare, entro 24 ore, gli attacchi.

Sono stati aggiunti il reato di truffa online, con aggravanti per chi commette reati usando siti e piattaforme, e la confisca obbligatoria degli strumenti informatici, da cui trarre soldi per risarcire le vittime.

L’azienda che subisce un data breach ha sempre torto

L’articolo Corte di Giustizia UE: tenuti al risarcimento sia l’impresa o la P.A. detentrice dei dati esfiltrati, sia chi usa i dati spacciandosi per l’interessato riporta che una sentenza della Corte di giustizia UE ribadisce quanto già noto: l’azienda cui vengono sottratti dati personali è ritenuta civilmente responsabile di non aver attuato le necessarie misure atte a proteggerli.

Stabilisce anche che i danni per sottrazione dei dati di identificazione e contatto personali sono da risarcire anche nel caso in cui non siano ancora stati oggetto di un furto di identità, in quanto potrebbe avvenire successivamente. [Questo appare, a prima vista, in contraddizione con altre decisioni in cui si affermava che per un risarcimento legato alla privacy fosse necessario dimostrare e quantificare l’avvenuto danno. Ndr]

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

• L’azienda sanitaria di un comune del milanese ha subito un attacco ransomware, il cui danno è stato il blocco del sistema informativo e la pubblicazione di 1000 GB di dati sensibili dei pazienti.
• ll Garante Privacy ha notificato a 18 Regioni e alle Province autonome di Bolzano e Trento l’avvio di procedimenti correttivi e sanzionatori per violazioni riscontrate nell’attuazione del nuovo Fascicolo Sanitario Elettronico 2.0.
• Telemarketing: dal Garante della privacy, sanzione di oltre 6 milioni di euro a Eni Plenitude per chiamate promozionali effettuate senza il consenso dell’interessato o rivolte a numeri iscritti al Registro pubblico delle opposizioni e per assenza di controlli sui contratti acquisiti tramite contatti illeciti [come comuni cittadini ci si auspica che questi controlli del Garante si diffondano anche più capillarmente, per interrompere la pratica diffusa di effettuare telemarketing senza rispettare le regole. Ndr]

• ing. Michele Lopardo

  Responsabile Qualità @ Wondersys