0
faceapp quali sono i rischi per la privacy

FaceApp, quali sono i rischi per la privacy?

A chi non è capitato di utilizzare FaceApp per modificare virtualmente la propria fisionomia, magari con una divertente trasformazione d’età o di genere da condividere sui social con gli amici?
Ti sarai sicuramente chiesto, anche leggendo le numerose notizie uscite sui social network, quali sono i rischi per la privacy che si hanno utilizzando FaceApp.

FaceApp è un applicazione per smartphone famosa da tempo anche in Italia, tanto da essere risultata l’app più scaricata nelle ultime settimane, superando addirittura l’applicazione di tracciamento anti-covid “Immuni“.

E, così come “Immuni”, anche sull’utilizzo di FaceApp si è scatenato un dibattito sui social in tema di privacy, coinvolgendo i creatori di memes che non ha perso occasione per pubblicare divertenti immagini sull’argomento.

"Perché io ci tengo alla mia privacy." 💃

Pubblicato da Andrà tutto meme su Mercoledì 17 giugno 2020

Come funziona la gestione dei tuoi dati personali su FaceApp?

La privacy policy di FaceApp è stata aggiornata il 4 Giugno 2020

Iniziamo con il dire che FaceApp utilizza come cloud (cioè come “spazio web virtuale” per caricare, processare ed editare le fotografie) alcuni provider di terze parti, nello specifico Google Cloud Platform e Amazon Web Services.
L’App carica sul cloud le foto da editare, criptate con una chiave registrata sullo smartphone che si sta utilizzando.

Le foto rimangono caricate sul cloud (con la possibilità quindi di un ritocco all’editing) per un periodo oscillante tra le 24 e le 48 ore, mentre i video vengono editati direttamente sul device e quindi non vengono conservati sul cloud.

Come vengono utilizzate le altre informazioni che fornisco?

FaceApp può utilizzare informazioni diverse dalle fotografie per i seguenti scopi:

• Per utilizzare e migliorare l’app e fornire supporto tecnico e manutenzione;

• Per comunicare con l’utente direttamente sull’app, anche inviando annunci, aggiornamenti e avvisi di sicurezza (anche attraverso notifiche push) oltre che rispondere a richieste, domande e feedback;

• Per eseguire analisi statistiche sull’uso dell’app (incluso l’utilizzo di Google Analytics).

• Per inviare comunicazioni di marketing e promozionali e per visualizzare annunci pubblicitari.

• Nel caso in cui venga utilizzata la versione gratuita dell’app, FaceApp mostrerà annunci pubblicitari di terzi partner all’interno dell’applicazione. Gli annunci sono mirati sia in base all’ utilizzo sull’App che ad ulteriori attività on line esterne all’applicazione.

L’autore dell’articolo invecchiato virtualmente con l’applicazione FaceApp

Hai autorizzato FaceApp a pubblicare le tue foto su Facebook o Instagram? Ecco cosa succede

FaceApp può raccogliere informazioni dalle piattaforme come Facebook, estraendo ad esempio, oltre al tuo nome e cognome, il numero di “amici” con cui sei collegato.

La raccolta ed elaborazione delle informazioni che FaceApp ottiene dai social media è regolata, come per tutte le applicazioni che utilizzano queste piattaforme, dai requisiti che queste piattaforme di social media impongono nei termini e nelle condizioni.

FaceApp specifica che, con il consenso dell’utilizzatore, in alcuni casi specifici può essere richiesto agli utenti di collezionare, usare o condividere alcune informazioni personali .
Faceapp specifica inoltre che, pur utilizzando dati aggregati, cioè dati che rimarrebbero comunque anonimi “sganciando” le informazioni personali dai dati utili a fini di analisi (come ad esempio il numero di condivisioni di una data foto), sarà possibile che questi vengano condivisi con partner per motivi commerciali.

Hai altre domande inerenti FaceApp e Privacy?
Scrivici all’indirizzo segreteria(at)difesadautore.it

Articolo a cura di Alfredo Esposito

0

Privacy by design e Blockchain

Il GDPR (Regolamento UE 2016/679), ossia la normativa europea in materia di protezione dei dati personali, per prevenire il verificarsi di possibili violazioni, all’art. 25 introduce i principi della privacy by design e privacy by default.

In cosa consistono i principi della privacy by design e privacy by default ?

L’applicazione del principio della privacy by design comporta che le aziende e le pubbliche amministrazioni avviino i loro progetti introducendo sin dalla loro progettazione gli strumenti a tutela dei dati personali.

La privacy by default, invece, impone al titolare del trattamento di mettere in atto “misure tecniche e organizzative adeguate, per garantire che siano trattati, per impostazione predefinita, di default, appunto, solo i dati personali necessari per ogni specifica finalità del trattamento”.
In particolare, la protezione di default riguarda: la quantità dei dati raccolti; l’estensione del trattamento; il periodo di conservazione; l’accessibilità.

Le impostazioni di privacy by default garantiscono che l’utilizzo di determinati dati sia eseguito dall’utente seguendo una scelta già impostata dal sistema, in automatico, pur residuando la possibilità per quest’ultimo di modificare le impostazioni già previste.

La tecnologia blockchain può essere considerata un sistema di privacy by design?

Negli ultimi tempi, si discute sulla possibilità di considerare la tecnologia blockchain in linea con il principio della privacy by design per le sue caratteristiche peculiari.
Nel dettaglio, infatti, le blockchain sono:
– decentralizzate e distribuite, dunque, molto meno attaccabili da parte di cyber-criminali;
– pubbliche e trasparenti, poichè le informazioni sulle transazioni sono pubbliche ed accessibili da parte di chiunque.

Inoltre, le blockchain fanno ampio uso della crittografia per tutelare l’identità ed i dati personali e sfruttano il meccanismo delle ricompense ai miner, ossia coloro che controllano il funzionamento corretto della blockchain e delle transazioni che avvengono su di essa, garantendo, in linea di principio, un metodo piuttosto sicuro per archiviare e gestire le informazioni.

Dunque, mentre di solito sul web se un utente concede il consenso al trattamento dei propri dati, di fatto, non ha poi il controllo su ciò che succede dopo e su come effettivamente essi siano utilizzati ed elaborati, al contrario, il sistema blockchain consente di poter tracciare lungo tutta la catena distribuita dove e come sono usate le informazioni oggetto di una transazione.

Quali problemi comporta l’adozione di questa tecnologia?

Questa tecnologia, pur avendo notevoli aspetti positivi, presenta, tuttavia, ancora alcuni interrogativi in campo di applicazione del GDPR.
In particolare, il carattere distribuito, decentralizzato e la condizione di pseudo-anonimato dei partecipanti, rende non sempre immediata l’individuazione del titolare del trattamento con riferimento alle blockchain di tipo permissionless, ossia quelle di tipo pubblico con struttura aperta e concepita per non essere controllata.  
Inoltre, un altro rilievo attiene le modalità di cancellazione dei dati in caso di esercizio del diritto all’oblio da parte di un utente.

La distruzione della chiave crittografica potrebbe essere una delle soluzioni possibili, se eseguita in maniera conforme alle pratiche informatiche idonee ed in modo verificabile, ma occorre attendere al riguardo ulteriori linee guida da parte del Garante per la protezione dei dati.

Ci si trova, infatti, dinanzi ad una tecnologia in continua evoluzione che necessita lo sviluppo standard internazionali e prassi comuni da adottare per garantirne un corretto utilizzo.

Articolo a cura della Dott.ssa Camilla Marotta

0

Intelligenza Artificiale e personalità giuridica: implicazioni e dibattiti

Come abbiamo già detto nel precedente articolo, attualmente l’Intelligenza Artificiale è uno strumento al pari di una macchina da presa o una macchina fotografica. Questa visione statica sta lasciando il posto ad una dinamicità rappresentata da un sempre più massiccio uso di questa tecnologia nell’ambito dell’industria creativa (opere d’arte, musica, cinema ecc.).

In conseguenza del crescente grado di autonomia acquisito dalle macchine dotate di IA – grazie al Machine Learning e al lavoro di esperti che nel perfezionamento del “cervello elettronico” stanno rendendo possibile una maggiore rispondenza con  quello umano –  sono sempre più frequenti i dibattiti in tema di personalità giuridica.

Sebbene risulti difficile accettare che una macchina possa ottenere un tale riconoscimento, bisogna ammettere che siamo alle soglie di una quarta rivoluzione industriale e questa porterà con sé, come già è accaduto in passato, importanti cambiamenti. La stessa Commissione Europea nel maggio del 2018 ha ammesso che le macchine sono e saranno sempre più interconnesse, autonome e ‘capaci di pensare’. Ed è proprio quest’ultima attitudine che forse consentirà, nella tutela delle opere create dall’IA, di fare un ulteriore passo avanti.

Seguendo la linea di alcuni studiosi, l’unica forma di personalità giuridica che l’UE dovrebbe conferire alle macchine dotate di IA è quella che viene riconosciuta alle aziende. Tuttavia, un modello giuridico simile più che riconoscere diritti a un non umano, mirerebbe ad associarli a questi soggetti in termini di responsabilità, ove emergano problemi/danni. Interessante, in tal senso, è la mozione della deputata lussemburghese al Parlamento Europeo, Mady Delvaux, la quale ha presentato una proposta per l’adozione di un sistema normativo comune nel settore della robotica che mira al riconoscimento della personalità giuridica dei robot, della loro responsabilità civile verso terzi e dell’obbligo di versamenti previdenziali per il lavoro svolto [1].

Se da un lato abbiamo coloro che spingo verso una personalità “elettronica”, dall’altro vi è chi vi si oppone. Come sostenuto da Noel Sharkey – professore emerito di intelligenza artificiale e robotica all’Università di Sheffield – in merito alla posizione del Parlamento europeo, questo riconoscimento è un “modo subdolo dei produttori di scappare dalle loro responsabilità” per le azioni commesse dalle loro macchine. Infatti, ad avviso di chi scrive, sembrerebbe irreale che una macchina possa pagare per i danni commessi, forse seguendo la linea di pensiero di alcuni esperti e attraverso la guida delle Risoluzioni della Commisione forse non appare cosi impossibile.

Si può parlare di personalità giuridica elettronica?

Alla luce di quanto esposto, si comprende come la personalità elettronica richiesta dai sostenitori all’interno del Parlamento Europeo abbia ancora molta strada da percorrere. Si dovrà tener conto delle questioni relative alla responsabilità del produttore, dell’utilizzatore, del programmatore, e al nesso di causalità ed eventuali responsabilità concorrenti, di cui parleremo in seguito. Bisognerà comprendere la ratio della risoluzione e dei vari interventi in materia per comprendere che forse la resistenza verso questa attribuzione deriva da una cattiva interpretazione.

In una società sempre più basata sul rapporto tra IA e uomo, serve prima di tutto un intervento di natura etica che faccia da apripista ai successivi interventi giuridici in materia.
Inoltre, l’assenza di un’interazione consapevole e cosciente da parte dell’uomo inevitabilmente induce a chiederci a chi sia ascrivibile la responsabilità per gli eventuali danni conseguenti. Si ritiene che il riconoscimento di una personalità elettronica sia ancora ben lontana, essendo diversi gli interessi in gioco e soprattutto dovendo ben definire, in termini giuridici, la questione della responsabilità.

[1] A. Valeriani, Diritto e intelligenza artificiale dei robot: verso una rivoluzione giuridica?


Articolo a cura della Dott.ssa Angela Patalano

0

Addio ai concerti in diretta su Instagram?

Quante volte ti è capitato di assistere ad un concerto in diretta e di trasmetterlo live sul tuo canale Instagram?

Se da un parte la diretta di un concerto aumenta il grado di fama dell’artista trasmesso, dall’altra, secondo le norme internazionali sul copyright, l’avvio di queste dirette potrebbe costituire una violazione dei diritti d’autore.

Ecco come apparirà la notifica di Instagram in caso di presunta violazione del copyright musicale
(foto: Instagram)

Tutto questo perché nella diretta sarebbero inclusi anche i brani (o parte di essi) depositati presso società di collecting (come la SIAE o LEA in Italia) che dovrebbero riscuotere i diritti per OGNI esecuzione del brano, ivi compresa quella riprodotta attraverso un live streaming in 9:16

Da un punto di vista tecnico, il social network invierà una notifica agli utenti per avvisare se con la trasmissione del contenuto in diretta si porrà in essere una violazione del copyright.

In questo caso la notifica di violazione servirebbe ad evitare la sospensione del live e plausibilmente, in caso di ripetute violazioni, la cancellazione dell’account.

Se da un parte, pensiamo ad esempio ad i dj set, il riconoscimento della violazione sarà più o meno automatico grazie all’esatta corrispondenza del contenuto tutelato con quello trasmesso, per i concerti in diretta il discorso cambia radicalmente.

Quali sono le problematiche dei concerti in streaming?

La maggior parte delle esecuzioni dal vivo infatti non corrisponde pedissequamente ai brani depositati e diffusi su piattaforme come Spotify, trattandosi di riarrangiamenti di cui spesso non c’è traccia nei canali di distribuzione ufficiale.

Si pongono quindi interrogativi sia sull’efficacia degli algoritmi sia sulle possibilità di reclamo in caso di errore sull’infringement del copyright.

Il problema non è di poco conto, considerando che le richieste di tutela per eventuali violazioni spesso non hanno risposta e che l’invio di un reclamo (che dovrà essere fatto in lingua inglese) non è di facile stesura per tutti gli utenti iscritti al social network.

Difesa D’Autore

Hanno chiuso il tuo account Facebook o Instagram o un tuo contenuto originale è stato pubblicato su questi social network senza la tua autorizzazione?

Difesa d’Autore può predisporre immediatamente il tuo reclamo, contattaci via email all’indirizzo segreteria@ difesadautore.it

References: https://about.instagram.com/blog/tips-and-tricks/updates-and-guidelines-for-including-music-in-video/

0

Come rimediare ad un Data Breach

Per effettuare ogni genere di attività sul web è diventare necessario fornire molti dettagli sulle proprie informazioni personali, ed è così che potremmo imbatterci senza saperlo in un Data Breach

L’inserimento dei nostri dati riservati è divenuto quasi un’operazione automatica che, magari per la fretta di accedere ad un contenuto oppure ad un servizio, spesso compiamo velocemente senza rivolgere la giusta attenzione alle possibili conseguenze che potrebbero scaturire da questo semplice atto.

La somma di tutti questi dati eterogenei raccolti, i cosiddetti “Big data”, ha un valore strategico ed economico altissimo, di qui la ragione di frequenti attacchi hacker volti a minare la sicurezza dei sistemi di cybersecurity anche più sofisticati scatenando dei pericolosi “Data breach”.

Soprattutto durante il periodo di lockdown causato dall’emergenza Covid-19, gli attacchi informatici si sono moltiplicati facendo sorgere interrogativi circa l’effettiva salvaguardia della privacy da parte di App di videochiamate online, nonché prendendo di mira pubbliche amministrazioni (come nel caso dell’INPS) e, pochissimi giorni fa, anche la grande compagnia aerea EasyJet, causando danni a milioni di utenti.
Per saperne di più circa questi rilevanti episodi si rimanda ai seguenti link:

https://www.ansa.it/sito/notizie/economia/2020/04/03/inps-notificato-il-data-breach-a-garante-privacy_731c3c5b-5427-4547-aa19-2dc8f86feb56.html

https://www.theguardian.com/business/2020/may/19/easyjet-cyber-attack-customers-details-credit-card

Ma cos’è effettivamente un Data breach?

Ai sensi dell’art. 4 del GDPR, per violazione dei dati personali o data breach è da intendersi come:

«qualsiasi violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati».

Quali obblighi sorgono in capo al titolare del trattamento in caso di violazione dei dati personali?

L’art. 33 del GDPR introduce l’obbligo del titolare del trattamento di notificare la violazione dei dati personali al Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne è venuto a conoscenza.

Il Garante per la protezione dei dati personali è un’autorità amministrativa indipendente istituita dalla legge n. 675/1996, il cui compito è decidere in caso di violazioni del GDPR e delle norme nazionali in materia di protezione dei dati e gestire i reclami che le vengono proposti.

Spetta al responsabile della protezione dei dati personali informare il titolare del trattamento, senza ingiustificato ritardo, dell’avvenuta violazione affinchè quest’ultimo possa procedere alla notifica dinanzi al Garante.

N.B. Il dovere di notifica entro 72 ore è escluso solo quando è improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone.

Cosa bisogna comunicare tramite la notifica?

• la natura della violazione dei dati personali compresi, se possibile, le categorie e il numero approssimativo di interessati in questione;

• il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

• le probabili conseguenze della violazione dei dati personali;

• le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Inoltre, come stabilito dall’art. 34 del GDPR, qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà fondamentali degli interessati, il titolare del trattamento è obbligato a comunicare la violazione anche a ciascun interessato senza ingiustificato ritardo.

Tuttavia, il suddetto obbligo è escluso quando:

• il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; 

• il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;

• la comunicazione richiederebbe sforzi sproporzionati, procedendosi, in tal caso, ad una comunicazione pubblica o ad una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

A quali sanzioni si va incontro in caso di mancata notifica?

Qualora la notifica non sia effettuata entro 72 ore, senza giustificati motivi di ritardo da comunicarsi al Garante, il titolare del trattamento dei dati personali è soggetto all’applicazione delle sanzioni previste dal GDPR consistenti in sanzioni amministrative pecuniarie fino a dieci milioni di Euro o fino al 2% del fatturato mondiale annuo dell’esercizio precedente se superiore.

Quali rimedi può azionare il danneggiato nei casi di la violazione dei dati personali?

Il Capo VIII del GDPR, agli artt. 77, 78 e 79 predispone i mezzi di ricorso, che il danneggiato può esperire per far valere i suoi diritti.
In particolare, sono tre le modalità attraverso cui costui può scegliere di agire:

1. mediante reclamo all’autorità di controllo dello Stato membro in cui risiede o lavora abitualmente, o dello Stato in cui si è verificata la presunta violazione;

2. attraverso ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda;

3. con ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode, a norma del GDPR, siano stati violati a seguito di un trattamento.

Le azioni devono essere promosse nei confronti del titolare e/o del responsabile del trattamento dei dati personali dinanzi alle autorità giurisdizionali dello Stato in cui titolare e/o il responsabile hanno uno stabilimento, o a quelle dello Stato membro in cui risiede abitualmente l’interessato.

Come prevenire un Data breach?

Dato l’impatto fortemente negativo del Data breach nei confronti degli interessati coinvolti e della brand reputation aziendale, è necessario attuare tutte le contromisure necessarie per prevenire la sua realizzazione.

Una prima forma di tutela è rappresentata dalla costituzione di un “comitato per il data breach” i cui membri dovrebbero esser dotati di competenze trasversali in tema di GDPR, IT, Marketing e Comunicazione, Finance al fine di valutare, in via preventiva, i possibili rischi nell’ambito del trattamento dei dati personali e stabilire le giuste contromisure in caso di violazioni.

A tale comitato è affidato il processo di valutazione del Data breach mediante cui:
• si identifica una scala di valori di criticità associata alle differenti tipologie di dati personali trattati dai sistemi e dalle infrastrutture informatiche aziendali;
• si identificano i punti di vulnerabilità a cui gli stessi potrebbero essere esposti;
• si valuta il rischio e impatti in caso di occorrenza del Data breach, considerando lo stato delle misure e delle soluzioni di sicurezza in essere;
• si stabilisce una soglia di accettazione del rischio;
• si stabiliscono le contromisure in funzione delle tipologie di Data breach, della soglia di rischio e delle risorse necessarie per investire nelle contromisure stesse.

Qualora si verifichi il Data breach, una volta segnalato l’evento al Garante, come specificato nei paragrafi precedenti, il comitato eseguirà, in collaborazione con il DPO, se presente, la procedura di valutazione del Data breach e ne analizzerà i risultati, in funzione del rischio e delle possibilità di mitigazione e rimedi perseguibili dall’azienda o dagli interessati.

Le conseguenze derivanti la perdita dei dati sono molto gravi e rappresentano, inoltre, un gravissimo costo anche in termini di danni reputazionali.
Investire nella prevenzione non è più un semplice suggerimento, ma una vera e propria necessità, considerato che eventi di Data breach si verificano, oramai, con una frequenza elevatissima comportando conseguenze molto pesanti.

Articolo a cura della Dott.ssa Camilla Marotta