www.difesadautore.it
0

Come funziona la privacy con le App di messaggistica istantanea?

Le App di messaggistica istantanea hanno oramai soppiantato gli “antichi” SMS, ma siamo davvero a conoscenza di come funziona la privacy delle nostre comunicazioni?

Milioni di messaggi al secondo sono inviati tramite le note App di messaggistica sempre più di frequentemente utilizzate (whatsapp, telegram, instagram, facebook messenger), sia per uso personale che professionale.
Dunque, molto gravi possono essere i rischi legati alla privacy a cui si può andare incontro; basti pensare al furto di informazioni di personaggi famosi, come quello riportato nel gennaio 2020 dal giornale inglese “The Guardian” che ha pubblicato i risultati di un’indagine su un attacco hacker ai danni del fondatore e CEO di Amazon Jeff Bezos colpito, nel maggio 2018, da un malware inviato dal principe dell’Arabia Saudita Mohammed tramite un semplice messaggio di WhatsApp.
Citare un esempio di tale calibro fa immediatamente intendere come sia semplice ledere la sicurezza delle nostre comunicazioni.

In che modo le App di messaggistica istantanea possono garantire la nostra riservatezza?

Uno dei sistemi più efficaci per salvaguardare la riservatezza degli utenti è l’utilizzo della crittografia end-to-end (E2E), ossia un sistema di comunicazione cifrata basato sulla generazione di una coppia di chiavi crittografiche, una “privata” ed una “pubblica”, che consentono di cifrare e decifrare i messaggi in partenza ed in arrivo in modo che risultino leggibili solo dal mittente e dal destinatario.

Ma tutte le App di messaggistica istantanea usano la crittografia end-to-end?

Oggi tutte le App di messaggistica istantanea impostano di default la crittografia end-to-end, ad eccezione di Telegram e di Facebook Messenger.
In queste applicazioni, infatti, la crittografia E2E deve essere abilitata dall’utente, attivando l’opzione “chat segrete” (per Telegram) o “conversazioni segrete” (per FB Messenger).
Dunque, se non si utilizza una chat segreta, i dati vengono salvati sui rispettivi server con un’evidente compromissione della sicurezza dei dati personali.
Di contro, altre famosissime App, come WhatsApp, pur adottando la crittografia end-to-end quale impostazione predefinita, presentano altre gravi inefficienze per quanto attiene, ad esempio, la conservazione dei cosiddetti metadati dei messaggi che sono memorizzati sui server in forma non cifrata.

Non esiste, dunque, un App sicura?

È davvero difficile trovare un App completamente sicura e la ragione è da ricercarsi nella natura stessa del web, universo fluido ed impossibile da governare nella sua totalità.
Tuttavia, ad opinione dei principali esperti di cybersecurity, una delle applicazioni più sicure è Signal che utilizza un protocollo di crittografia E2E (il Signal Encryption Protocol) considerato tra i migliori.
A differenza delle altre App di messaggistica, Signal garantisce un livello di privacy e sicurezza superiore in quanto:
– memorizza solo i metadati strettamente necessari per il suo funzionamento senza salvare alcuna informazione relativa alla conversazione;
– per ragioni di sicurezza i messaggi sono memorizzati localmente sul dispositivo e non vengono neppure salvati nel backup di iCloud (nel caso di iPhone);
– il codice sorgente di Signal è pubblico, secondo la logica dell’open source ed il controllo audit di sicurezza è effettuato da un team indipendente.

Tuttavia, Signal è ancora un’app di nicchia poichè, non permettendo il backup della chat, è destinata ad avere una diffusione piuttosto limitata dato che l’utente medio continuerà a preferire la praticità d’uso e la diffusione rispetto alla sicurezza.

0
Come funziona la privacy Policy di Google?

Come funziona la privacy policy di Google?

Di recente la privacy policy di Google è stata modificata per garantire in misura maggiore la sicurezza degli utenti durante la navigazione.
Non è un caso che in questo processo di adeguamento, mirato ad assicurare una regolamentazione equilibrata sull’uso dei dati in tutto il mondo, il GDPR ha rappresentato un’importante fonte di riferimento presa a modello, in unione ad altre leggi e modelli mondiali, per la proposta di un quadro normativo sulla materia.
Come annunciato dal CEO di Google, Sundar Pichai, a partire dal 24 giugno 2020 sono divenute operative le nuove disposizioni policy dirette a raggiungere tre fondamentali obiettivi:

garantire la sicurezza delle informazioni personali, trattarle responsabilmente e permettere all’utente di esercitare il loro controllo”.

Cos’è una policy?

Il regolamento o policy aziendale è quell’insieme di norme adottate unilateralmente dall’azienda per disciplinare la condotta dei propri dipendenti in materie molto specifiche quali l’uso del personal computer, della navigazione in internet o della posta elettronica.
Nell’ ambito delle piattaforme web, questo sistema di norme è rivolto a disciplinare non solo la condotta dell’azienda e dei suoi dipendenti, ma anche quella degli utenti che le utilizzano.
Spesso molto articolate, le policies si suddividono in vari campi regolamentando sia aspetti generali legati all’ utilizzo della piattaforma, che aspetti più dettagliati connessi, ad esempio, alla tutela del copyright, al rispetto della privacy, all’ adeguatezza dei contenuti.

Per avere un’idea più chiara delle policies in ambito web, leggi quella di YouTube qui

700Sundar Pichai, CEO di Google

Nella nuova policy di Google cosa cambia in materia di privacy?

Innanzitutto, la nuova policy di Google ha introdotto l’eliminazione dei dati dopo 18 mesi come impostazione predefinita nella “Cronologia delle posizioni” e nelle “Attività web e app” dei nuovi profili.
Mentre, per i profili già attivi, ha predisposto l’invio di notifiche per ricordare l’opzione “eliminazione automatica”.
È stato, poi, previsto un accesso facilitato alla modalità di navigazione in incognito in tutte le principali App (Search, Maps e YouTube) riferite all’azienda, attivabile cliccando direttamente sull’icona del proprio profilo.
Inoltre, sono stati implementati alcuni strumenti a tutela della privacy personale, come il “Google Privacy Checkup”, con l’aggiunta di raccomandazioni personalizzate e guide step by step per aiutare gli utenti a gestire in maniera corretta le proprie opzioni privacy.     

Per conoscere tutti gli strumenti posti da Google a tutela delle informazioni personali clicca sul seguente link

Quali App di Google non prevedono l’applicazione di queste modifiche?

Per le finalità specifiche perseguite, le novità introdotte dalla modifica della policy di Google non si applicano a Gmail, Drive e Foto, che sono progettati con lo scopo di conservare in sicurezza i contenuti personali in base alle necessità dell’utente.

Hai ulteriori domande inerenti la privacy o il GDPR? Inviaci un’email
0

Videocamere di sorveglianza e privacy personale

L’installazione di videocamere di sorveglianza è un mezzo comunemente utilizzato in molteplici contesti al fine di garantire la sicurezza di beni e persone.
Tuttavia, l’utilizzo di questo sistema comporta anche una serie di rischi relativamente alla privacy personale, a causa della grande quantità di dati raccolti tramite le registrazioni attive H24.

Il GDPR predispone, infatti, alcune regole necessarie per garantire il rispetto della privacy dei soggetti interessati.
Nel dettaglio, la materia della videosorveglianza è caratterizzata dalla particolarità della doppia informativa poichè all’informativa completa, resa conformemente a quanto disposto dal Regolamento UE n.679/2016, si aggiunge la presenza di un’informativa minima (il cartello “Area videosorvegliata”), come già prevista dall’abrogato art. 13 comma 3 del vecchio Codice Privacy.
Ai sensi del punto 3.1 del Provvedimento Generale dell’8 aprile 2010 del Garante Privacy, l’informativa minima:
– deve essere collocata prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;
– deve avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
– può inglobare un simbolo o una stilizzazione di esplicita e immediata comprensione, eventualmente diversificati al fine di informare se le immagini sono solo visionate o anche registrate.

Per conoscere gli elementi fondamentali di un’informativa privacy completa puoi leggere il mio precedente articolo sul tema

L’informativa privacy: i diritti dell’interessato al trattamento dati

Inoltre, l’uso di un sistema di videocamere di sorveglianza è subordinato al rispetto di adeguate misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini.
Le misure di sicurezza da adottare sono previste dall’art. 32 del GDPR il cui testo è visionabile qui:

Installazione di videocamere di sorveglianza nei luoghi di lavoro

Ancor più delicata e complessa è la disciplina della videosorveglianza applicata ai luoghi di lavoro che, per essere ammessa, deve risultare subordinata alle seguenti motivazioni:
– esigenze organizzative e produttive: es. il controllo della qualità produttiva attraverso i video;
– esigenze di sicurezza sul lavoro: es. lavoratori che operano in luoghi isolati;
– tutela del patrimonio aziendale: es. presenza di componenti o materiale di alto valore.

La materia richiederebbe una ben più ampia trattazione, tuttavia, ecco alcune linee guida da seguire per non incorrere in pesanti sanzioni come previste dall’art.83 del GDPR.
Innanzitutto, occorre sapere che prima di installare un impianto di videosorveglianza è necessario sottoscrivere un accordo sindacale oppure ottenere l’autorizzazione dell’ITL o dell’INL.
In aggiunta alle suddette autorizzazioni bisogna fornire anche l’informativa sulla privacy al dipendente, che ha carattere necessario.
Soggette ad autorizzazione devono essere tutte le telecamere che si vogliono installare, anche quelle poste fuori l’azienda poiché l’autorizzazione riguarda anche quei luoghi in cui i lavoratori si trovano momentaneamente o di passaggio.
Infine, si precisa che è possibile riprendere i lavoratori purché ciò avvenga in via incidentale e occasionalmente. Inquadrare direttamente il dipendente si può, ma solo se esistono delle ragioni che lo giustificano, come per esempio la tutela della sicurezza sul lavoro.

Articolo a cura della Dott.ssa Camilla Marotta

0
faceapp quali sono i rischi per la privacy

FaceApp, quali sono i rischi per la privacy?

A chi non è capitato di utilizzare FaceApp per modificare virtualmente la propria fisionomia, magari con una divertente trasformazione d’età o di genere da condividere sui social con gli amici?
Ti sarai sicuramente chiesto, anche leggendo le numerose notizie uscite sui social network, quali sono i rischi per la privacy che si hanno utilizzando FaceApp.

FaceApp è un applicazione per smartphone famosa da tempo anche in Italia, tanto da essere risultata l’app più scaricata nelle ultime settimane, superando addirittura l’applicazione di tracciamento anti-covid “Immuni“.

E, così come “Immuni”, anche sull’utilizzo di FaceApp si è scatenato un dibattito sui social in tema di privacy, coinvolgendo i creatori di memes che non ha perso occasione per pubblicare divertenti immagini sull’argomento.

Come funziona la gestione dei tuoi dati personali su FaceApp?

La privacy policy di FaceApp è stata aggiornata il 4 Giugno 2020

Iniziamo con il dire che FaceApp utilizza come cloud (cioè come “spazio web virtuale” per caricare, processare ed editare le fotografie) alcuni provider di terze parti, nello specifico Google Cloud Platform e Amazon Web Services.
L’App carica sul cloud le foto da editare, criptate con una chiave registrata sullo smartphone che si sta utilizzando.

Le foto rimangono caricate sul cloud (con la possibilità quindi di un ritocco all’editing) per un periodo oscillante tra le 24 e le 48 ore, mentre i video vengono editati direttamente sul device e quindi non vengono conservati sul cloud.

Come vengono utilizzate le altre informazioni che fornisco?

FaceApp può utilizzare informazioni diverse dalle fotografie per i seguenti scopi:

• Per utilizzare e migliorare l’app e fornire supporto tecnico e manutenzione;

• Per comunicare con l’utente direttamente sull’app, anche inviando annunci, aggiornamenti e avvisi di sicurezza (anche attraverso notifiche push) oltre che rispondere a richieste, domande e feedback;

• Per eseguire analisi statistiche sull’uso dell’app (incluso l’utilizzo di Google Analytics).

• Per inviare comunicazioni di marketing e promozionali e per visualizzare annunci pubblicitari.

• Nel caso in cui venga utilizzata la versione gratuita dell’app, FaceApp mostrerà annunci pubblicitari di terzi partner all’interno dell’applicazione. Gli annunci sono mirati sia in base all’ utilizzo sull’App che ad ulteriori attività on line esterne all’applicazione.

L’autore dell’articolo invecchiato virtualmente con l’applicazione FaceApp

Hai autorizzato FaceApp a pubblicare le tue foto su Facebook o Instagram? Ecco cosa succede

FaceApp può raccogliere informazioni dalle piattaforme come Facebook, estraendo ad esempio, oltre al tuo nome e cognome, il numero di “amici” con cui sei collegato.

La raccolta ed elaborazione delle informazioni che FaceApp ottiene dai social media è regolata, come per tutte le applicazioni che utilizzano queste piattaforme, dai requisiti che queste piattaforme di social media impongono nei termini e nelle condizioni.

FaceApp specifica che, con il consenso dell’utilizzatore, in alcuni casi specifici può essere richiesto agli utenti di collezionare, usare o condividere alcune informazioni personali .
Faceapp specifica inoltre che, pur utilizzando dati aggregati, cioè dati che rimarrebbero comunque anonimi “sganciando” le informazioni personali dai dati utili a fini di analisi (come ad esempio il numero di condivisioni di una data foto), sarà possibile che questi vengano condivisi con partner per motivi commerciali.

Hai altre domande inerenti FaceApp e Privacy?
Scrivici all’indirizzo segreteria(at)difesadautore.it

Articolo a cura di Alfredo Esposito

0

Privacy by design e Blockchain

Il GDPR (Regolamento UE 2016/679), ossia la normativa europea in materia di protezione dei dati personali, per prevenire il verificarsi di possibili violazioni, all’art. 25 introduce i principi della privacy by design e privacy by default.

In cosa consistono i principi della privacy by design e privacy by default ?

L’applicazione del principio della privacy by design comporta che le aziende e le pubbliche amministrazioni avviino i loro progetti introducendo sin dalla loro progettazione gli strumenti a tutela dei dati personali.

La privacy by default, invece, impone al titolare del trattamento di mettere in atto “misure tecniche e organizzative adeguate, per garantire che siano trattati, per impostazione predefinita, di default, appunto, solo i dati personali necessari per ogni specifica finalità del trattamento”.
In particolare, la protezione di default riguarda: la quantità dei dati raccolti; l’estensione del trattamento; il periodo di conservazione; l’accessibilità.

Le impostazioni di privacy by default garantiscono che l’utilizzo di determinati dati sia eseguito dall’utente seguendo una scelta già impostata dal sistema, in automatico, pur residuando la possibilità per quest’ultimo di modificare le impostazioni già previste.

La tecnologia blockchain può essere considerata un sistema di privacy by design?

Negli ultimi tempi, si discute sulla possibilità di considerare la tecnologia blockchain in linea con il principio della privacy by design per le sue caratteristiche peculiari.
Nel dettaglio, infatti, le blockchain sono:
– decentralizzate e distribuite, dunque, molto meno attaccabili da parte di cyber-criminali;
– pubbliche e trasparenti, poichè le informazioni sulle transazioni sono pubbliche ed accessibili da parte di chiunque.

Inoltre, le blockchain fanno ampio uso della crittografia per tutelare l’identità ed i dati personali e sfruttano il meccanismo delle ricompense ai miner, ossia coloro che controllano il funzionamento corretto della blockchain e delle transazioni che avvengono su di essa, garantendo, in linea di principio, un metodo piuttosto sicuro per archiviare e gestire le informazioni.

Dunque, mentre di solito sul web se un utente concede il consenso al trattamento dei propri dati, di fatto, non ha poi il controllo su ciò che succede dopo e su come effettivamente essi siano utilizzati ed elaborati, al contrario, il sistema blockchain consente di poter tracciare lungo tutta la catena distribuita dove e come sono usate le informazioni oggetto di una transazione.

Quali problemi comporta l’adozione di questa tecnologia?

Questa tecnologia, pur avendo notevoli aspetti positivi, presenta, tuttavia, ancora alcuni interrogativi in campo di applicazione del GDPR.
In particolare, il carattere distribuito, decentralizzato e la condizione di pseudo-anonimato dei partecipanti, rende non sempre immediata l’individuazione del titolare del trattamento con riferimento alle blockchain di tipo permissionless, ossia quelle di tipo pubblico con struttura aperta e concepita per non essere controllata.  
Inoltre, un altro rilievo attiene le modalità di cancellazione dei dati in caso di esercizio del diritto all’oblio da parte di un utente.

La distruzione della chiave crittografica potrebbe essere una delle soluzioni possibili, se eseguita in maniera conforme alle pratiche informatiche idonee ed in modo verificabile, ma occorre attendere al riguardo ulteriori linee guida da parte del Garante per la protezione dei dati.

Ci si trova, infatti, dinanzi ad una tecnologia in continua evoluzione che necessita lo sviluppo standard internazionali e prassi comuni da adottare per garantirne un corretto utilizzo.

Articolo a cura della Dott.ssa Camilla Marotta

1 2