Camilla Marotta, Autore presso Studio Legale Difesa d'Autore

About Camilla Marotta

Consulente legale con specializzazione in Legal management ed IP law View all posts by Camilla Marotta →

2 Set

Come funziona la privacy con le App di messaggistica istantanea?

GDRP/Privacy messenger, Privacy, telegram, whatsapp

Le App di messaggistica istantanea hanno oramai soppiantato gli “antichi” SMS, ma siamo davvero a conoscenza di come funziona la privacy delle nostre comunicazioni?

Milioni di messaggi al secondo sono inviati tramite le note App di messaggistica sempre più di frequentemente utilizzate (whatsapp, telegram, instagram, facebook messenger), sia per uso personale che professionale.
Dunque, molto gravi possono essere i rischi legati alla privacy a cui si può andare incontro; basti pensare al furto di informazioni di personaggi famosi, come quello riportato nel gennaio 2020 dal giornale inglese “The Guardian” che ha pubblicato i risultati di un’indagine su un attacco hacker ai danni del fondatore e CEO di Amazon Jeff Bezos colpito, nel maggio 2018, da un malware inviato dal principe dell’Arabia Saudita Mohammed tramite un semplice messaggio di WhatsApp.
Citare un esempio di tale calibro fa immediatamente intendere come sia semplice ledere la sicurezza delle nostre comunicazioni.

In che modo le App di messaggistica istantanea possono garantire la nostra riservatezza?

Uno dei sistemi più efficaci per salvaguardare la riservatezza degli utenti è l’utilizzo della crittografia end-to-end (E2E), ossia un sistema di comunicazione cifrata basato sulla generazione di una coppia di chiavi crittografiche, una “privata” ed una “pubblica”, che consentono di cifrare e decifrare i messaggi in partenza ed in arrivo in modo che risultino leggibili solo dal mittente e dal destinatario.

Ma tutte le App di messaggistica istantanea usano la crittografia end-to-end?

Oggi tutte le App di messaggistica istantanea impostano di default la crittografia end-to-end, ad eccezione di Telegram e di Facebook Messenger.
In queste applicazioni, infatti, la crittografia E2E deve essere abilitata dall’utente, attivando l’opzione “chat segrete” (per Telegram) o “conversazioni segrete” (per FB Messenger).
Dunque, se non si utilizza una chat segreta, i dati vengono salvati sui rispettivi server con un’evidente compromissione della sicurezza dei dati personali.
Di contro, altre famosissime App, come WhatsApp, pur adottando la crittografia end-to-end quale impostazione predefinita, presentano altre gravi inefficienze per quanto attiene, ad esempio, la conservazione dei cosiddetti metadati dei messaggi che sono memorizzati sui server in forma non cifrata.

Non esiste, dunque, un App sicura?

È davvero difficile trovare un App completamente sicura e la ragione è da ricercarsi nella natura stessa del web, universo fluido ed impossibile da governare nella sua totalità.
Tuttavia, ad opinione dei principali esperti di cybersecurity, una delle applicazioni più sicure è Signal che utilizza un protocollo di crittografia E2E (il Signal Encryption Protocol) considerato tra i migliori.
A differenza delle altre App di messaggistica, Signal garantisce un livello di privacy e sicurezza superiore in quanto:
– memorizza solo i metadati strettamente necessari per il suo funzionamento senza salvare alcuna informazione relativa alla conversazione;
– per ragioni di sicurezza i messaggi sono memorizzati localmente sul dispositivo e non vengono neppure salvati nel backup di iCloud (nel caso di iPhone);
– il codice sorgente di Signal è pubblico, secondo la logica dell’open source ed il controllo audit di sicurezza è effettuato da un team indipendente.

Tuttavia, Signal è ancora un’app di nicchia poichè, non permettendo il backup della chat, è destinata ad avere una diffusione piuttosto limitata dato che l’utente medio continuerà a preferire la praticità d’uso e la diffusione rispetto alla sicurezza.

27 Lug

Come funziona la privacy policy di Google?

Camilla Marotta

GDRP/Privacy

Di recente la privacy policy di Google è stata modificata per garantire in misura maggiore la sicurezza degli utenti durante la navigazione.
Non è un caso che in questo processo di adeguamento, mirato ad assicurare una regolamentazione equilibrata sull’uso dei dati in tutto il mondo, il GDPR ha rappresentato un’importante fonte di riferimento presa a modello, in unione ad altre leggi e modelli mondiali, per la proposta di un quadro normativo sulla materia.
Come annunciato dal CEO di Google, Sundar Pichai, a partire dal 24 giugno 2020 sono divenute operative le nuove disposizioni policy dirette a raggiungere tre fondamentali obiettivi:

“garantire la sicurezza delle informazioni personali, trattarle responsabilmente e permettere all’utente di esercitare il loro controllo”.

Cos’è una policy?

Il regolamento o policy aziendale è quell’insieme di norme adottate unilateralmente dall’azienda per disciplinare la condotta dei propri dipendenti in materie molto specifiche quali l’uso del personal computer, della navigazione in internet o della posta elettronica.
Nell’ ambito delle piattaforme web, questo sistema di norme è rivolto a disciplinare non solo la condotta dell’azienda e dei suoi dipendenti, ma anche quella degli utenti che le utilizzano.
Spesso molto articolate, le policies si suddividono in vari campi regolamentando sia aspetti generali legati all’ utilizzo della piattaforma, che aspetti più dettagliati connessi, ad esempio, alla tutela del copyright, al rispetto della privacy, all’ adeguatezza dei contenuti.

Per avere un’idea più chiara delle policies in ambito web, leggi quella di YouTube qui

Nella nuova policy di Google cosa cambia in materia di privacy?

Innanzitutto, la nuova policy di Google ha introdotto l’eliminazione dei dati dopo 18 mesi come impostazione predefinita nella “Cronologia delle posizioni” e nelle “Attività web e app” dei nuovi profili.
Mentre, per i profili già attivi, ha predisposto l’invio di notifiche per ricordare l’opzione “eliminazione automatica”.
È stato, poi, previsto un accesso facilitato alla modalità di navigazione in incognito in tutte le principali App (Search, Maps e YouTube) riferite all’azienda, attivabile cliccando direttamente sull’icona del proprio profilo.
Inoltre, sono stati implementati alcuni strumenti a tutela della privacy personale, come il “Google Privacy Checkup”, con l’aggiunta di raccomandazioni personalizzate e guide step by step per aiutare gli utenti a gestire in maniera corretta le proprie opzioni privacy.

Per conoscere tutti gli strumenti posti da Google a tutela delle informazioni personali clicca sul seguente link

Quali App di Google non prevedono l’applicazione di queste modifiche?

Per le finalità specifiche perseguite, le novità introdotte dalla modifica della policy di Google non si applicano a Gmail, Drive e Foto, che sono progettati con lo scopo di conservare in sicurezza i contenuti personali in base alle necessità dell’utente.

Camilla Marotta | Difesa d’Autore

Consulente legale con specializzazione in Legal management ed IP law

Hai ulteriori domande inerenti la privacy o il GDPR? Inviaci un’email

10 Lug

Videocamere di sorveglianza e privacy personale

Camilla Marotta

GDRP/Privacy

L’installazione di videocamere di sorveglianza è un mezzo comunemente utilizzato in molteplici contesti al fine di garantire la sicurezza di beni e persone.
Tuttavia, l’utilizzo di questo sistema comporta anche una serie di rischi relativamente alla privacy personale, a causa della grande quantità di dati raccolti tramite le registrazioni attive H24.

Il GDPR predispone, infatti, alcune regole necessarie per garantire il rispetto della privacy dei soggetti interessati.
Nel dettaglio, la materia della videosorveglianza è caratterizzata dalla particolarità della doppia informativa poichè all’informativa completa, resa conformemente a quanto disposto dal Regolamento UE n.679/2016, si aggiunge la presenza di un’informativa minima (il cartello “Area videosorvegliata”), come già prevista dall’abrogato art. 13 comma 3 del vecchio Codice Privacy.
Ai sensi del punto 3.1 del Provvedimento Generale dell’8 aprile 2010 del Garante Privacy, l’informativa minima:
– deve essere collocata prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;
– deve avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
– può inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente diversificati al fine di informare se le immagini sono solo visionate o anche registrate.

Per conoscere gli elementi fondamentali di un’informativa privacy completa puoi leggere il mio precedente articolo sul tema

L’informativa privacy: i diritti dell’interessato al trattamento dati

Inoltre, l’uso di un sistema di videocamere di sorveglianza è subordinato al rispetto di adeguate misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini.
Le misure di sicurezza da adottare sono previste dall’art. 32 del GDPR il cui testo è visionabile qui:

Installazione di videocamere di sorveglianza nei luoghi di lavoro

Ancor più delicata e complessa è la disciplina della videosorveglianza applicata ai luoghi di lavoro che, per essere ammessa, deve risultare subordinata alle seguenti motivazioni:
– esigenze organizzative e produttive: es. il controllo della qualità produttiva attraverso i video;
– esigenze di sicurezza sul lavoro: es. lavoratori che operano in luoghi isolati;
– tutela del patrimonio aziendale: es. presenza di componenti o materiale di alto valore.

La materia richiederebbe una ben più ampia trattazione, tuttavia, ecco alcune linee guida da seguire per non incorrere in pesanti sanzioni come previste dall’art.83 del GDPR.
Innanzitutto, occorre sapere che prima di installare un impianto di videosorveglianza è necessario sottoscrivere un accordo sindacale oppure ottenere l’autorizzazione dell’ITL o dell’INL.
In aggiunta alle suddette autorizzazioni bisogna fornire anche l’informativa sulla privacy al dipendente, che ha carattere necessario.
Soggette ad autorizzazione devono essere tutte le telecamere che si vogliono installare, anche quelle poste fuori l’azienda poiché l’autorizzazione riguarda anche quei luoghi in cui i lavoratori si trovano momentaneamente o di passaggio.
Infine, si precisa che è possibile riprendere i lavoratori purché ciò avvenga in via incidentale e occasionalmente. Inquadrare direttamente il dipendente si può, ma solo se esistono delle ragioni che lo giustificano, come per esempio la tutela della sicurezza sul lavoro.

Articolo a cura della Dott.ssa Camilla Marotta

26 Giu

Privacy by design e Blockchain

Camilla Marotta

Blockchain, GDRP/Privacy

Il GDPR (Regolamento UE 2016/679), ossia la normativa europea in materia di protezione dei dati personali, per prevenire il verificarsi di possibili violazioni, all’art. 25 introduce i principi della privacy by design e privacy by default.

In cosa consistono i principi della privacy by design e privacy by default ?

L’applicazione del principio della privacy by design comporta che le aziende e le pubbliche amministrazioni avviino i loro progetti introducendo sin dalla loro progettazione gli strumenti a tutela dei dati personali.

La privacy by default, invece, impone al titolare del trattamento di mettere in atto “misure tecniche e organizzative adeguate, per garantire che siano trattati, per impostazione predefinita, di default, appunto, solo i dati personali necessari per ogni specifica finalità del trattamento”.
In particolare, la protezione di default riguarda: la quantità dei dati raccolti; l’estensione del trattamento; il periodo di conservazione; l’accessibilità.

Le impostazioni di privacy by default garantiscono che l’utilizzo di determinati dati sia eseguito dall’utente seguendo una scelta già impostata dal sistema, in automatico, pur residuando la possibilità per quest’ultimo di modificare le impostazioni già previste.

La tecnologia blockchain può essere considerata un sistema di privacy by design?

Negli ultimi tempi, si discute sulla possibilità di considerare la tecnologia blockchain in linea con il principio della privacy by design per le sue caratteristiche peculiari.
Nel dettaglio, infatti, le blockchain sono:
– decentralizzate e distribuite, dunque, molto meno attaccabili da parte di cyber-criminali;
– pubbliche e trasparenti, poichè le informazioni sulle transazioni sono pubbliche ed accessibili da parte di chiunque.

Inoltre, le blockchain fanno ampio uso della crittografia per tutelare l’identità ed i dati personali e sfruttano il meccanismo delle ricompense ai miner, ossia coloro che controllano il funzionamento corretto della blockchain e delle transazioni che avvengono su di essa, garantendo, in linea di principio, un metodo piuttosto sicuro per archiviare e gestire le informazioni.

Dunque, mentre di solito sul web se un utente concede il consenso al trattamento dei propri dati, di fatto, non ha poi il controllo su ciò che succede dopo e su come effettivamente essi siano utilizzati ed elaborati, al contrario, il sistema blockchain consente di poter tracciare lungo tutta la catena distribuita dove e come sono usate le informazioni oggetto di una transazione.

Quali problemi comporta l’adozione di questa tecnologia?

Questa tecnologia, pur avendo notevoli aspetti positivi, presenta, tuttavia, ancora alcuni interrogativi in campo di applicazione del GDPR.
In particolare, il carattere distribuito, decentralizzato e la condizione di pseudo-anonimato dei partecipanti, rende non sempre immediata l’individuazione del titolare del trattamento con riferimento alle blockchain di tipo permissionless, ossia quelle di tipo pubblico con struttura aperta e concepita per non essere controllata.
Inoltre, un altro rilievo attiene le modalità di cancellazione dei dati in caso di esercizio del diritto all’oblio da parte di un utente.

La distruzione della chiave crittografica potrebbe essere una delle soluzioni possibili, se eseguita in maniera conforme alle pratiche informatiche idonee ed in modo verificabile, ma occorre attendere al riguardo ulteriori linee guida da parte del Garante per la protezione dei dati.

Ci si trova, infatti, dinanzi ad una tecnologia in continua evoluzione che necessita lo sviluppo standard internazionali e prassi comuni da adottare per garantirne un corretto utilizzo.

Articolo a cura della Dott.ssa Camilla Marotta

Difesa d’Autore (@difesadautore) • Instagram photos and videos

Legal defense for content creators 💡⚖️
#DigitalRights #Coyright #IP #NewTech

6 Giu

Come rimediare ad un Data Breach

Camilla Marotta

GDRP/Privacy

Per effettuare ogni genere di attività sul web è diventare necessario fornire molti dettagli sulle proprie informazioni personali, ed è così che potremmo imbatterci senza saperlo in un Data Breach

L’inserimento dei nostri dati riservati è divenuto quasi un’operazione automatica che, magari per la fretta di accedere ad un contenuto oppure ad un servizio, spesso compiamo velocemente senza rivolgere la giusta attenzione alle possibili conseguenze che potrebbero scaturire da questo semplice atto.

La somma di tutti questi dati eterogenei raccolti, i cosiddetti “Big data”, ha un valore strategico ed economico altissimo, di qui la ragione di frequenti attacchi hacker volti a minare la sicurezza dei sistemi di cybersecurity anche più sofisticati scatenando dei pericolosi “Data breach”.

Soprattutto durante il periodo di lockdown causato dall’emergenza Covid-19, gli attacchi informatici si sono moltiplicati facendo sorgere interrogativi circa l’effettiva salvaguardia della privacy da parte di App di videochiamate online, nonché prendendo di mira pubbliche amministrazioni (come nel caso dell’INPS) e, pochissimi giorni fa, anche la grande compagnia aerea EasyJet, causando danni a milioni di utenti.
Per saperne di più circa questi rilevanti episodi si rimanda ai seguenti link:

https://www.ansa.it/sito/notizie/economia/2020/04/03/inps-notificato-il-data-breach-a-garante-privacy_731c3c5b-5427-4547-aa19-2dc8f86feb56.html

https://www.theguardian.com/business/2020/may/19/easyjet-cyber-attack-customers-details-credit-card

Ma cos’è effettivamente un Data breach?

Ai sensi dell’art. 4 del GDPR, per violazione dei dati personali o data breach è da intendersi come:

«qualsiasi violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati».

Quali obblighi sorgono in capo al titolare del trattamento in caso di violazione dei dati personali?

L’art. 33 del GDPR introduce l’obbligo del titolare del trattamento di notificare la violazione dei dati personali al Garante per la protezione dei dati personali entro 72 ore dal momento in cui ne è venuto a conoscenza.

Il Garante per la protezione dei dati personali è un’autorità amministrativa indipendente istituita dalla legge n. 675/1996, il cui compito è decidere in caso di violazioni del GDPR e delle norme nazionali in materia di protezione dei dati e gestire i reclami che le vengono proposti.

Spetta al responsabile della protezione dei dati personali informare il titolare del trattamento, senza ingiustificato ritardo, dell’avvenuta violazione affinchè quest’ultimo possa procedere alla notifica dinanzi al Garante.

N.B. Il dovere di notifica entro 72 ore è escluso solo quando è improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone.

Cosa bisogna comunicare tramite la notifica?

• la natura della violazione dei dati personali compresi, se possibile, le categorie e il numero approssimativo di interessati in questione;

• il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

• le probabili conseguenze della violazione dei dati personali;

• le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Inoltre, come stabilito dall’art. 34 del GDPR, qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà fondamentali degli interessati, il titolare del trattamento è obbligato a comunicare la violazione anche a ciascun interessato senza ingiustificato ritardo.

Tuttavia, il suddetto obbligo è escluso quando:

• il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

• il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;

• la comunicazione richiederebbe sforzi sproporzionati, procedendosi, in tal caso, ad una comunicazione pubblica o ad una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

A quali sanzioni si va incontro in caso di mancata notifica?

Qualora la notifica non sia effettuata entro 72 ore, senza giustificati motivi di ritardo da comunicarsi al Garante, il titolare del trattamento dei dati personali è soggetto all’applicazione delle sanzioni previste dal GDPR consistenti in sanzioni amministrative pecuniarie fino a dieci milioni di Euro o fino al 2% del fatturato mondiale annuo dell’esercizio precedente se superiore.

Quali rimedi può azionare il danneggiato nei casi di la violazione dei dati personali?

Il Capo VIII del GDPR, agli artt. 77, 78 e 79 predispone i mezzi di ricorso, che il danneggiato può esperire per far valere i suoi diritti.
In particolare, sono tre le modalità attraverso cui costui può scegliere di agire:

1. mediante reclamo all’autorità di controllo dello Stato membro in cui risiede o lavora abitualmente, o dello Stato in cui si è verificata la presunta violazione;

2. attraverso ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda;

3. con ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode, a norma del GDPR, siano stati violati a seguito di un trattamento.

Le azioni devono essere promosse nei confronti del titolare e/o del responsabile del trattamento dei dati personali dinanzi alle autorità giurisdizionali dello Stato in cui titolare e/o il responsabile hanno uno stabilimento, o a quelle dello Stato membro in cui risiede abitualmente l’interessato.

Come prevenire un Data breach?

Dato l’impatto fortemente negativo del Data breach nei confronti degli interessati coinvolti e della brand reputation aziendale, è necessario attuare tutte le contromisure necessarie per prevenire la sua realizzazione.

Una prima forma di tutela è rappresentata dalla costituzione di un “comitato per il data breach” i cui membri dovrebbero esser dotati di competenze trasversali in tema di GDPR, IT, Marketing e Comunicazione, Finance al fine di valutare, in via preventiva, i possibili rischi nell’ambito del trattamento dei dati personali e stabilire le giuste contromisure in caso di violazioni.

A tale comitato è affidato il processo di valutazione del Data breach mediante cui:
• si identifica una scala di valori di criticità associata alle differenti tipologie di dati personali trattati dai sistemi e dalle infrastrutture informatiche aziendali;
• si identificano i punti di vulnerabilità a cui gli stessi potrebbero essere esposti;
• si valuta il rischio e impatti in caso di occorrenza del Data breach, considerando lo stato delle misure e delle soluzioni di sicurezza in essere;
• si stabilisce una soglia di accettazione del rischio;
• si stabiliscono le contromisure in funzione delle tipologie di Data breach, della soglia di rischio e delle risorse necessarie per investire nelle contromisure stesse.

Qualora si verifichi il Data breach, una volta segnalato l’evento al Garante, come specificato nei paragrafi precedenti, il comitato eseguirà, in collaborazione con il DPO, se presente, la procedura di valutazione del Data breach e ne analizzerà i risultati, in funzione del rischio e delle possibilità di mitigazione e rimedi perseguibili dall’azienda o dagli interessati.

Le conseguenze derivanti la perdita dei dati sono molto gravi e rappresentano, inoltre, un gravissimo costo anche in termini di danni reputazionali.
Investire nella prevenzione non è più un semplice suggerimento, ma una vera e propria necessità, considerato che eventi di Data breach si verificano, oramai, con una frequenza elevatissima comportando conseguenze molto pesanti.

Articolo a cura della Dott.ssa Camilla Marotta

1 2