Chi commissiona una campagna promozionale deve sempre verificare che le società incaricate di svolgerla operino correttamente e non utilizzino illecitamente i dati di consumatori che non desiderano essere disturbati. Questa la decisione del Garante per la privacy nel sanzionare due società per l’invio di milioni di sms pubblicitari.

L’Autorità era intervenuta su richiesta di due reclamanti che si lamentavano per la continua ricezione di messaggi indesiderati. Entrambi avevano provato a contattare la società che inviava i messaggi o quella che offriva le promozioni, chiedendo di non essere più disturbati, ma senza successo e senza neppure ottenere riscontri soddisfacenti su dove avessero acquisito i loro dati personali.

Nel corso dell’istruttoria, il Garante ha verificato che la società committente aveva incaricato un’azienda operante nel marketing di inviare sms promozionali a potenziali clienti. La società di marketing si era poi avvalsa di altri fornitori che a loro volta avevano acquisito le banche dati da terzi. In questa successione di passaggi, sul modello delle scatole cinesi, è emerso che i dati delle persone contattate provenivano da liste non verificate – con evidenti profili di illiceità – costituite da soggetti esteri con informazioni in parte derivanti da registrazioni a portali informativi o da concorsi online. Due list editor avevano dichiarato la propria sede in Florida e in Svizzera senza aver neppure nominato un proprio rappresentante in Italia, in violazione del GDPR. Al riguardo l’Autorità ha ricordato che l’ordinato svolgimento delle attività di marketing, con l’utilizzo di dati raccolti lecitamente e aggiornati, oltre ad evitare pericolose derive (quali phishing e truffe), giova al mercato stesso tutelando gli operatori virtuosi e rafforzando la fiducia degli interessati. È pertanto necessario adottare la massima diligenza nella selezione delle banche dati.

Il Garante ha quindi sanzionato la società committente per 400.000 euro, in quanto titolare del trattamento dei dati, per non aver mai verificato che l’azienda incaricata dell’attività promozionale eseguisse correttamente le istruzioni previste nel contratto.

Alla seconda società, in quanto fornitore del servizio di marketing, il Garante ha vietato l’uso di dati provenienti da fonti che non rispettino i requisiti minimi di legittimità e ha imposto una sanzione di 200.000 euro.

Una terza società, coinvolta nell’istruttoria per acquisire informazioni, ha ricevuto una sanzione di 90.000,00 euro per non aver mai dato riscontro alle richieste del Garante, reiterando una condotta omissiva già oggetto di precedente sanzione.

Tutte le sanzioni sono state calcolate sulla base di vari parametri, tra il cui fatturato societario, il grado di collaborazione offerto e la gravità delle violazioni commesse.

(dalla newsletter del Garante per la protezione dei dati personali del 31/01/2022)

 ------

 ------

La tecnologia a volte può essere una minaccia (vedi articolo), ma spesso può aiutarci a proteggere i nostri dati e la nostra privacy quando navighiamo in rete.

La crittografia informatica, ad esempio, è un sistema che, tramite l'utilizzo di un algoritmo matematico, offusca i nostri messaggi in modo da non rendere visibile il loro contenuto, con l'utilizzo di chiavi segrete che permettono al sistema di consentire l'accesso ai dati solo alle persone autorizzate. Un tipico esempio di crittografia asimmetrica (c.d. end-to-end) è quella utilizzata nelle chat di WhatsApp o simili.

La steganografia invece permette di nascondere un messaggio dentro un file, come un'immagine, un file audio o video ecc., in modo che senza la chiave di accesso non è possibile non solo leggere il messaggio, ma nemmeno rilevare la sua presenza.

Altre tecnologie che permettono di proteggerci su Internet sono le PET, Privacy Enhancing Technologies, tecnologie per il miglioramento della privacy.

Ricordiamo le seguenti:

• Subject-oriented PETS: consentono di limitare la nostra riconoscibilità durante la navigazione in internet, come la navigazione anonima (che in realtà nasconde la nostra cronologia di navigazione solo agli utilizzatori del nostro PC, mentre sulla rete quello che facciamo è perfettamente visibile), l'utilizzo di proxy anonimi per nascondere il nostro indirizzo IP (ma su richiesta delle Autorità i gestori del servizio sono obbligati a fornire ai nostri dati) e l'utilizzo della rete TOR (attualmente il sistema che ci dà la migliore possibilità di anonimato, anche se a scapito della velocità di navigazione, perché il traffico passa in maniera crittografata tramite diversi server gestiti da volontari e sparsi in tutto il globo, facendo perdere così le nostre tracce.

• Object-oriented PETS: permettono di proteggere la nostra navigazione tramite particolari tecnologie come i browser con protezione anti-tracciamento avanzata.

• Transaction-oriented PETS: assicurano la protezione dei nostri dati durante le transazioni su Internet, come specifici software che rimuovono file temporanei e cookie.

• System-oriented PETS: creano zone di interazione dove l'identità dei soggetti è nascosta, ad esempio i servizi di anonymous remailer, o l'utilizzo dei protocolli crittografici TLS o SSL.

Inoltre ricordiamo che il GDPR, Regolamento Europeo sulla Protezione dei Dati, ha posto particolare enfasi sui concetti di Privacy by Design e Privacy by Default, cioè sull'obbligo di incorporare i principi di protezione dei dati fin dalla fase della progettazione dell'hardware e del software e sull'obbligo che vengano trattati per impostazione predefinita solo i dati personali necessari e sufficienti per la finalità per la quale sono stati raccolti.

------

(17/02/21, Luigi Morganti - specialista privacy e data protection)

Per info e contatti: info@latuaprivacy.com

Short url: tinyurl.com/tecnologiaprotegge

I nostri dati, i nostri interessi, la nostra attività su internet hanno valore economico e spesso siamo minacciati da vecchi e nuovi strumenti tecnologici che usano ciò che raccolgono per finalità di marketing, ad esempio per inviarci annunci pubblicitari mirati, molto più efficaci della pubblicità generica.

Tra le varie tecnologie per raccogliere i nostri dati ricordiamo:

• File di log
• Cookie
• Contenuti traccianti

I file di log sono file di testo in cui viene registrata e documentata, presso l'internet service provider, tutta l'attività che un navigatore ha svolto in internet. Grazie ai log il gestore di un sito può conoscere quanti sono i visitatori, il tempo di permanenza nel sito, le pagine consultate ecc.

I cookie sono file di piccole dimensioni che vengono scritti nei nostri pc quando visitiamo un sito e che contengono dati ricavati dalla nostra navigazione. Si dividono in cookie tecnici, utilizzati per in funzionamento del sito e per ottimizzare la nostra navigazione ed in cookie di profilazione. I primi sono necessari per il corretto funzionamento del sito e non hanno bisogno del nostro consenso per essere utilizzati, mentre quelli di profilazione, utilizzati appunto per finalità di marketing necessitano di un nostro preliminare e specifico consenso, in mancanza del quale devono rimanere disattivati. Di norma viene data la possibilità all'utente di gestire l'utilizzo dei cookie da parte di un sito utilizzando un apposito banner, dove è possibile esprimere le nostre preferenze tramite il consenso c.d. "granulare", cioè specifico e distinto per ogni finalità di trattamento.

I contenuti traccianti invece sono delle porzioni di codice nascoste all'interno delle pagine web, i c.d. "snippet", utilizzati per tener traccia della nostra attività di navigazione e delle nostre interazioni, utilizzando questi dati per profilarci.

La profilazione è in questo caso un trattamento automatizzato utilizzato per analizzare le nostre preferenze personali, i nostri interessi, il nostro comportamento sul web, per catalogarci ed inviarci pubblicità mirata.

Ricordiamo che il GDPR prevede il diritto a non essere sottoposti a trattamenti automatizzati come la profilazione senza un nostro specifico consenso ed anche dopo aver espresso tale consenso conserviamo il diritto ad avere il controllo sul trattamento dei nostri dati, con la possibilità di richiedere informazioni o spiegazioni al titolare del trattamento, a contestare il trattamento, a richiedere un intervento umano ex-post ecc.

- segue in un prossimo articolo: La tecnologia ci protegge

 ------

(12/02/21, Luigi Morganti - specialista privacy e data protection)

Per info e contatti: info@latuaprivacy.com

Short url: tinyurl.com/tecnologiaminaccia

La valutazione d'impatto sulla protezione dei dati (in inglese D.P.I.A. Data Protection Impact Assessment) è uno dei nuovi adempimenti del nuovo Regolamento Europeo sulla protezione dei dati e sostituisce il precedente obbligo generale di notifica alle autorità di controllo del trattamento dei dati personali.

Il D.P.I.A. è un processo, da effettuare preliminarmente al trattamento, volto a descrivere un trattamento di dati personali, valutarne la necessità e la proporzionalità, nonché gestirne gli eventuali rischi per i diritti e le libertà delle persone fisiche da esso derivanti, effettuando una valutazione del livello del rischio e determinando le misure idonee a mitigarlo.

Per meglio definire se un'azienda è soggetta a tale obbligo, l'authority italiana, il Garante per la protezione dei dati personali, ha emanato il provvedimento n. 467 dell’11 ottobre 2018 (pubblicato nella Gazzetta Ufficiale n. 269 del 19 novembre 2018) individuando espressamente i tipi di operazioni che possono presentare rischi elevati per i diritti e le libertà e quindi soggetti alla Valutazione d'impatto sulla protezione dei dati personali.

Cosa prevede il G.D.P.R.

Il Regolamento Europeo prevede che la Valutazione d'impatto è obbligatoria in tutti i casi in cui un trattamento di dati può presentare un rischio elevato per i diritti e le libertà delle persone.
In particolare nelle linee guida vengono individuati i seguenti casi specifici:

1. Trattamenti valutativi o di scoring (compresa la profilazione) sul rendimento professionale, la salute, la situazione economica, le preferenze personali, l'ubicazione o gli spostamenti degli interessati.
2. Decisioni automatizzate che producono significativi effetti giuridici (assunzioni, concessioni di prestiti, stipula di assicurazioni), compresa la profilazione.
3. Monitoraggio sistematico di dati personali, come nel caso di dati raccolti tramite reti o di sorveglianza sistematica su larga scala di una zona accessibile al pubblico, ad esempio con la videosorveglianza.
4. Trattamento di dati sensibili/particolari (come quelli relativi alla salute), giudiziari o di natura estremamente personale (come le opinioni politiche).
5. Trattamento dati personali su larga scala, tenendo conto del numero di interessati (anche in proporzione alla popolazione locale), del volume dei dati e della persistenza del trattamento.
6. Creazione di corrispondenze o combinazione di insiemi di dati, es. Big Data.
7. Trattamento di dati di soggetti vulnerabili (anziani, minori, richiedenti asilo).
8. Trattamento di dati con l’utilizzo di nuove tecnologie (riconoscimento facciale, dispositivi indossabili, dispositivi IoT, ecc.).
9. Trattamento che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

È sufficiente quindi, secondo il GDPR, che sussistano almeno due di queste nove condizioni per rendere obbligatorio il D.P.I.A.

Cosa prevede il provvedimento del Garante Italiano

Il Garante quindi ha ulteriormente specificato i casi in cui è obbligatoria la valutazione d'impatto:

1. Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”.
2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi).
3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza ecc.
4. Trattamenti su larga scala di dati aventi carattere estremamente personale: si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti).
5. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti.
6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
7. Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi indossabili; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati dalle linee guida G.D.P.R. (vedi sopra).
8. Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.
9. Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment).
10. Trattamenti di categorie sensibili/particolari di dati oppure di dati relativi a condanne penali e a reati interconnessi con altri dati personali raccolti per finalità diverse.
11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Come si vede dunque, tenendo conto degli esempi riportati dalle linee guida del G.D.P.R. e di quanto stabilito dal Garante, i trattamenti dati soggetti a D.P.I.A. sono numerosi e la Valutazione d'impatto si configura come uno degli strumenti più importanti nella nuova disciplina della Privacy.

------

(06/01/19, Luigi Morganti - specialista privacy e data protection)

Per info e contatti: info@latuaprivacy.com

Short url: tinyurl.com/valutazioneimpatto

Il "Registro delle attività di trattamento" è uno dei principali adempimenti a carico del Titolare del trattamento dei dati personali ed è descritto nell'art. 30 del G.D.P.R.

È un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal Responsabile del trattamento.

Il Registro costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Il registro deve avere forma scritta, anche elettronica, deve essere esibito su richiesta al Garante, deve essere costantemente aggiornato e deve anche recare "in maniera verificabile" sia la data della sua prima istituzione o creazione sia la data dell’ultimo aggiornamento.

Chi è tenuto alla redazione del Registro

Nell'ambito privato sono obbligati alla redazione del Registro:

• Imprese od organizzazioni con almeno 250 dipendenti
• Qualunque titolare o responsabile del trattamento (anche con meno di 250 dipendenti) che tratti dati particolari (sensibili) o giudiziari.
• Qualunque titolare o responsabile del trattamento (anche con meno di 250 dipendenti) che tratti dati in maniera stabile e non occasionale.
• Qualunque titolare o responsabile del trattamento (anche con meno di 250 dipendenti) il cui trattamento possa presentare un rischio (anche non elevato) per i diritti e le libertà degli interessati.

Per impresa si intende qualunque tipo di azienda, anche individuale, mentre tra le organizzazioni rientrano anche le associazioni, le fondazioni e i comitati.

Il requisito del trattamento di dati particolari, quindi, fa scattare automaticamente l'obbligo di redazione del Registro per ogni impresa od organizzazione che abbia anche solo un dipendente.

In base al parere dell'EDPB (European Data Protection Board, o Comitato europeo per la protezione dei dati), inoltre, il requisito di non occasionalità estende l'obbligo del Registro, ad esempio, anche ai liberi professionisti trattano dati personali altrui in maniera non occasionale o ad un sito web con un form di contatti.

Le FAQ sul Registro delle attività di trattamento, emanate l'8 ottobre 2018 dal Garante italiano per la protezione dei dati personali, fanno alcuni altri esempi di obbligo di redazione del Registro:

• esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
• liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
• associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
• il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Quali informazioni deve contenere il Registro

Il Registro deve contenere tutta una serie di informazioni obbligatorie, tra le quali i recapiti e contatti del Titolare del trattamento, dei responsabili e dell'eventuale DPO, la descrizione delle finalità (e delle basi giuridiche) del trattamento, delle categorie degli interessati, dei destinatari oggetto di comunicazione dei dati personali, delle misure adeguate di sicurezza tecniche ed organizzative adottate nella protezione dei dati, dei termini o criteri utilizzati nella cancellazione dei dati, oltre che i criteri utilizzati nei trasferimenti di dati verso un paese terzo o un’organizzazione internazionale.

Il G.D.P.R. prevede inoltre che anche i Responsabili del trattamento, nominati dal Titolare, (ad esempio il commercialista o il consulente del lavoro) debbano tenere un registro simile in relazione alle attività svolte per conto del titolare, con contenuti simili a quanto sopra descritto.

Come si vede dunque, la stesura e l'aggiornamento del Registro delle attività di trattamento dei dati diventa quasi sempre obbligatoria o comunque è fortemente consigliata, indipendentemente dal tipo di impresa od organizzazione, dalla sua dimensione o dal tipo di attività svolta.

------

(22/01/19, Luigi Morganti - specialista privacy e data protection)

Per info e contatti: info@latuaprivacy.com

Short url: tinyurl.com/registrotrattamenti

La definizione di "dato personale" è molto ampia e oltre a comprendere i dati c.d. "sensibili" o "particolari" (come quelli sullo stato di salute, i dati genetici o biometrici, le convinzioni religiose o politiche ecc.) riguarda qualsiasi informazione relativa ad una persona fisica (vivente) identificata o identificabile. Quindi dati personali possono essere ad esempio un codice fiscale, un'impronta digitale, un tabulato di traffico telefonico, un'immagine, una registrazione audio o video ecc.

Per "identificazione" si intende la possibilità di distinguere la persona da qualsiasi altro soggetto oppure all'interno di una categoria. Identificabile è la persona che può essere individuata anche mediante il riferimento ad ulteriori elementi, attraverso l'incrocio di informazioni.

La Corte dei diritti dell'uomo ha evidenziato che non esiste una netta separazione tra vita privata e vita professionale per quanto riguarda i dati personali, per cui anche le informazioni riguardanti la vita professionale e pubblica di una persona sono dati personali.

Tra i dati personali "Comuni" ci sono ad esempio:
- nome e cognome
- indirizzo di casa
- indirizzo email
- numero di passaporto
- indirizzo IP (quando collegato ad altri dati)
- numero di targa del veicolo
- numero di patente
- calligrafia
- numeri di carta di credito
- informazioni finanziarie
- identità digitale
- data di nascita
- luogo di nascita
- numero di telefono
- informazioni relative al proprio lavoro o professione
- nome account o nickname su internet

Tra i dati personali "Sensibili" o "Particolari" ci sono:
- i dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale
- i dati genetici
- i dati biometrici, intesi a identificare in modo univoco una persona fisica (ad esempio l'impronta digitale, la mappa dell'iride, la scansione del viso ecc.)
- i dati relativi alla salute
- i dati relativi alla vita sessuale o all’orientamento sessuale della persona
- i dati giudiziari (rivelano l'esistenza di provvedimenti penali suscettibili di iscrizione nel casellario giudiziale o la qualità di indagato o imputato)

------

(08/08/18, Luigi Morganti - specialista privacy e data protection)

Per info e contatti: info@latuaprivacy.com

Short url: tinyurl.com/qualidatipersonali