Principali notizie settimanali in tema di privacy

La Newsletter dello Studio Previti

Principali notizie settimanali in tema di privacy

Telemarketing: arrivano i primi chiarimenti dal MISE

Il Ministero per lo Sviluppo Economico (“MISE”) ha pubblicato ieri il documento contenente le osservazioni presentate – in sede di consultazione pubblica - dai principali operatori del mercato e dalle associazioni di categoria ed i chiarimenti di natura tecnica relativamente alla nuova disciplina del Registro Pubblico delle Opposizioni (RPO).
A differenza delle osservazioni tecniche, che trovano risposta nel documento del Mise, alcune questioni riguardanti gli aspetti legati alla protezione dei dati personali necessiteranno di un parere formale da parte del Garante italiano per la protezione dei dati personali, di cui si attende con fervore la pubblicazione.
I dati relativamente ai volumi di contatti oggetto di trattamento da parte degli operatori non sono stati resi noti, ma saranno fondamentali per il MISE per stabilire le indicazioni tariffarie più adeguate e determinare l’importo che gli operatori dovranno pagare per accedere al servizio – obbligatorio – di consultazione del RPO e di verifica delle liste di contatto.
Molti operatori hanno, inoltre, richiesto, in sede di consultazione, di valutare l’introduzione di un periodo di adeguamento di almeno sei mesi per consentire tanto l’implementazione di nuovi sistemi di controllo delle liste quanto la risoluzione di eventuali criticità e l’adeguamento dei potenziali contratti in essere con i fornitori.

Videosorveglianza, che guaio! È illegittimo il 92% dei trattamenti effettuati

Dalle indagini effettuate, solamente nell’8% dei casi, gli interessati che accedono ad un luogo sottoposto a videosorveglianza trovano esposto un regolare cartello informativo.
Dopo le attività di telemarketing, la videosorveglianza si conferma tra i trattamenti più sanzionati a livello europeo: sul podio la Spagna. Questi i dati che emergono da un’indagine condotta da Federprivacy in collaborazione con Ethos Academy su un campione di circa 2.000 individui, da cui è risultato che solo l’8% degli intervistati che ha fatto ingresso in un esercizio pubblico dotato di un sistema di videosorveglianza dichiara di aver trovato esposto regolare documentazione informativa completa, che metteva al corrente i clienti circa la presenza e l’uso di telecamere all’interno del locale. In particolare, secondo quanto emerso dalla ricerca, erano indicati, in modo chiaro e trasparente, i corretti riferimenti normativi e le altre informazioni che il GDPR impone siano fornite all’interessato.
Il dato più preoccupante riguarda il Sud Italia. Solo il 3% delle aziende sono dotate di un “Data Protection Officer” o di un’altra figura dedicata alle tematiche della privacy e solo il 15% di tali professionisti avverte la necessità di approfondire la propria formazione in materia.

Cyber Europe 2022: quanto è importante rafforzare i meccanismi di difesa dai cyber attacchi?

Si è svolta, nelle giornate dell’8 e 9 giugno scorsi, l’esercitazione Cyber Europe 2022, l’evento promosso dall’Agenzia europea per la cybersicurezza finalizzato al rafforzamento ed alla preparazione dei meccanismi europei di gestione degli incidenti e delle crisi di cybersicurezza, la cui partecipazione nazionale è stata coordinata dall’Agenzia per la Cybersicurezza Nazionale (ACN).
Nell’odierno contesto internazionale di cyber war, l’esercitazione ha assunto una rilevanza particolarmente significativa: vi hanno partecipato tutte le Agenzie cyber ed i Computer Security Incident Response Team (CSIRT) degli Stati Membri dell’Unione Europea oltre a numerosi soggetti istituzionali ed operatori del settore sanitario, che hanno avuto l’opportunità di confrontarsi con simulazioni di attacchi cyber su vasta scala. Sono state oggetto di esercitazione anche le attività di coordinamento nazionale e transfrontaliero tra le strutture organizzative cyber dei vari organismi.
All’evento hanno partecipato, oltre all’ACN, anche il nucleo di cybersecurity del Servizio Polizia Postale e delle Comunicazioni del Ministero dell’Interno, il Comando per le Operazioni in Rete (COR) del Ministero della Difesa, il Ministero della Salute e diversi operatori del settore rappresentanti il livello regionale locale.
I dati elaborati all’esito di tali esercitazioni saranno di grande aiuto per l’implementazione di maggiori misure di sicurezza e contribuiranno alla diffusione della cultura della cybersicurezza , soprattutto nel settore sanitario.

Non c’è pace per Google! 25 mila euro per la mancata rimozione degli “URL” dei siti sorgente

Con una recente sentenza della Corte di Cassazione, il colosso americano è stato condannato al risarcimento dei danni morali derivanti dalla mancata rimozione degli URL riferibili ai siti gestiti da altri motori di ricerca.
Google, in qualità di internet service provider, mette a disposizione degli utenti i riferimenti necessari per identificare gli URL dei siti sorgente. Pronunciatasi con sentenza pubblicata lo scorso 8 giugno, la Suprema Corte di Cassazione ha respinto il ricorso presentato da Google LLC, avverso la condanna al pagamento di 25 mila euro di danni morali a causa della sofferenza patita da un utente per la mancata rimozione degli URL dei siti sorgente attraverso i quali era possibile avere accesso ad una notizia – risultata poi falsa – cui è seguita una condanna per diffamazione. L’uomo, parte lesa delle vicenda, era stato additato da un suo collega (sul proprio sito web), quale parente di un mafioso. La notizia si era ampiamente diffusa in rete ed era rimasta accessibile anche dopo la condanna per diffamazione del suo autore e la conseguente richiesta di deindicizzazione dell’URL.
I giudici del Palazzaccio confermano la responsabilità del colosso americano, integrando la motivazione del Tribunale di prime cure. I giudici di primo grado avevano, difatti, fondato la propria decisione sulla clausola generale dell’articolo 2043 del Codice civile che regola il risarcimento del danno ingiusto per fatto illecito, considerando – erroneamente – inapplicabile il D.lgs. 70/2003 che attua il regime della direttiva sul commercio elettronico, in quanto, relativo solo alla memorizzazione di informazioni commerciali fornite da altri. Diverso il giudizio della Cassazione che ha, invece, ritenuto applicabile la norma secondo cui la responsabilità dell’hosting provider si configura quando non si attiva immediatamente per disabilitare l’accesso alle informazioni illecite di cui ha avuto conoscenza. È proprio questo il caso di Google, intermediario tipico dell’informazione internet e, al tempo stesso, banca dati che gestisce il catalogo delle migliori pagine selezionate dal web.

Cyber-security: impennata di casi ransomware nel settore sanitario

Pubblicato il Verizon2022 Data Breach Investigations Report: nel 2021 gli attacchi ransomware sono aumentati del 13% rispetto all'anno precedente e hanno rappresentato il 25% delle violazioni dei dati e il 70% delle violazioni legate al malware.
Il rapporto – redatto da una delle più grandi aziende di tecnologia della comunicazione al mondo, con sede a New York – evidenzia le violazioni informatiche per settore industriale ed è il risultato di un lavoro di analisi di oltre 23.000 incidenti e 5.200 violazioni verificatesi nel 2021 in tutto il mondo e in tutti i settori industriali. Gli attacchi hanno coinvolto soprattutto le infrastrutture strategiche, la catena di approvvigionamento e il settore sanitario, comparto, quest’ultimo, nei quali si è registrato un incremento notevole di attacchi informatici, dovuti soprattutto ad errori umani. I dati dimostrano che, rispetto agli altri insider aziendali, coloro che operano nell’ambito sanitario hanno una probabilità di 2,5 volte maggiore di commettere un errore che si traduce in un breach dei dati. La maggior parte degli attacchi si sono verificati tramite violazione di base alle applicazioni web e intrusioni di sistema.Per quanto riguarda gli altri i settori industriali, l’apporto umano è stato causa dell'82% dei casi di data breach. A consentire le intrusioni malevoli anche la configurazione errata dei servizi cloud. I dati danno evidenza di quanto la formazione aziendale costituisca elemento imprescindibile per le aziende, al fine di ridurre al minimo il rischio di un attacco informatico. Insegnare ai dipendenti le best practice di sicurezza e gli strumenti per riconoscere le e-mail di phishing potrebbe garantire la diminuzione dei rischi di violazione dei dati personali.

Google Analytics: il CNIL pubblica Q&A in aiuto alle aziende

A due anni dall’invalidazione del Privacy Shield con gli Stati Uniti sono ancora troppi i punti aperti sul trasferimento extraeuropeo dei dati. L’autorità di protezione dei dati personali francese prova a fare chiarezza sui cookie Analytics di Google.
Utilizzo delle clausole standard per il trasferimento dei dati, differenze tra anonimizzazione e pseudoanonimizzazione, crittografia, sono solo alcuni dei temi trattati dalle Q&A pubblicate dalla “Commission nationale de l’informatique et des libertés” (“CNIL”) sull’utilizzabilità dei cookie di Google.
Le aziende cui si rivolge la CNIL avevano sottoscritto Clausole Contrattuali Standard offerte da Google per impostazione predefinita, come modello unico. L’autorità ha ribadito come tali clausole non possano, da sole, garantire un livello di protezione sufficiente in caso di richiesta di accesso da parte delle autorità di intelligence statunitensi, in particolare se tale accesso è previsto da leggi nazionali.
Inoltre, ricorda il CNIL, Google utilizza misure di pseudonimizzazione, mentre la procedura di anonimizzazione non è applicabile a tutti i dati oggetto di trasferimento verso gli Stati Uniti. È impossibile, tra l’altro, determinare se tale procedure di anonimizzazione avvengano prima del trasferimento al di fuori dei confini europei. Il solo uso di identificatori univoci per differenziare le persone, prosegue l’autorità francese, rende i dati comunque identificabili, specialmente se combinati con altre informazioni come i metadati del browser e del sistema operativo, consentendo il tracciamento preciso degli utenti, anche su più dispositivi separati.
Nel documento, inoltre, è stato ribadito come l’utilizzo di Google Analytics insieme ad altri servizi Google, soprattutto quelli relativi allo svolgimento di attività di marketing, possa amplificare il rischio di tracciamento. Cresce, quindi, la trepidante attesa per il nuovo accordo USA-UE per il trasferimento dei dati.

Riciclaggio e anti-terrorismo: quanto conta sensibilizzare le istituzioni europee?

L’European Data Protection Board (EDPB) ha pubblicato le lettere rivolte al Parlamento europeo, alla Commissione e al Consiglio dell’Unione Europea in merito alla proposta del nuovo quadro normativo per la lotta al riciclaggio di denaro e al finanziamento delle attività terroristiche (“LCB-FT”) presentata a luglio del 2021.
Dopo aver analizzato il progetto normativo, l’EDPB ha inviato una lettera pubblica ciascuno alle istituzioni dell’Unione per richiamare l’attenzione sulle importanti questioni sollevate nell’ambito della protezione dei dati personali. Viene ribadita la necessità che i legislatori europei tengano maggiormente conto dei principi stabiliti dal GDPR per lo sviluppo di questo nuovo impianto di norme. Consentire il trattamento solo di dati accurati, pertinenti e limitati a quanto necessario renderebbe il LCB-FT molto più efficiente e coerente rispetto agli standard del diritto alla riservatezza.
Nel documento inviato, l’Autorità sottolinea la necessità di:

  1. specificare meglio le categorie di dati sottoposte a trattamento e le condizioni per il loro utilizzo già nei regolamenti in fase di negoziazione e non solo nelle norme tecniche di regolamentazione, orientamenti o raccomandazioni, come previsto nella proposta legislativa;
  2. un maggiore coinvolgimento dell’EDPB per la redazione dei documenti legislativi;
  3. fornire migliori garanzie per il trattamento di dati sensibili e dati relativi a condanne penali;
  4. regolamentare l’attività dei fornitori di servizi specializzati nella fornitura di informazioni (i c.d. “watch-list”) rispetto ai requisiti del GDPR.

 

A cura dell'Avv. Vincenzo Colarocco e del dipartimento Compliance, media e tecnologia di Studio Previti