FederPrivacy

Tutte le ultime news di Federprivacy in tempo reale!
  1. big-data-e-algoritmi-dal-gdpr-il-salvagente-agli-utenti-del-web

     

    Codici di condotta, diritto di opposizione contro lo strapotere degli algoritmi e portabilità dei dati grezzi (che sono ricalcolati dalle macchine e vanno a comporre masse enorme di informazioni): è la trilogia delle tutele contro i pericoli dei big data messa in campo dal regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr), illustrata nell'indagine conoscitiva appunto sui big data, condotta congiuntamente dall'Autorità per le garanzie nelle comunicazioni, dall'Autorità garante della concorrenza e del mercato e dal Garante per la protezione dei dati personali.

    Il rapporto finale dell'Indagine analizza pro e contro di un fenomeno tanto straripante nell'economia, quanto trascurato dalla legislazione (che necessiterebbe, comunque, una regolamentazione sovranazionale). Ma le persone non sono ostaggi dei big data, abbandonate a se stessi, perché molte armi di difesa si trovano proprio nel Gdpr, solo apparentemente estraneo a queste informazioni. Vediamo, dunque, pericoli dei big data e possibili protezioni.

    Pericoli. I big data, si dice spesso troppo sbrigativamente, trattano dati anonimizzati. Per il vero è, invece, da riconoscere che in presenza di dati anonimizzati è possibile, incrociando una serie di data base e organizzando e correlando una mole di dati, non solo individuare circostanziati target al fine di creare specifiche categorie sulla base dei differenti identikit emersi, ma addirittura risalire all'identità del soggetto. Anzi più cresce la mole dei big data più cresce la possibilità di re-identificazione.

    In ogni caso, si avverte nell'Indagine conoscitiva, i big data amplificano i pericoli per l'individuo e per l'assetto economico. Ecco una sintetica carrellata dei rischi.

    La centralità del dato, anche come bene economico rende prioritaria l'analisi della tutela dei dati come diritto fondamentale della persona.

    La profilazione algoritmica e delle piattaforme online impatta sul grado di concorrenza in vecchi e in nuovi mercati rilevanti.

    Il programmatic advertising incide sulla qualità dell'informazione e sulle modalità di diffusione e acquisizione della stessa. Il pluralismo on-line è esposto ad attacchi in un contesto informativo esposto a strategie di disinformazione e di hatespeech. Le modalità di consenso circa l'uso del proprio dato evidenziano l'esigenza di garantire trasparenza e scelte effettive al consumatore, con particolare attenzione alla tutela dei minori.

    I big data impongono, insomma, nuove strategie di difesa dei singoli individui, considerato che richiedono di inventare strategie di protezione del dato personale anche in ambiti non attualmente coperti dal regolamento Ue sulla privacy Gdpr.

    L'apparente debolezza del Gdpr. Il regolamento (Gdpr), questa l'analisi nell'Indagine conoscitiva, sembrerebbe, a prima vista, non essere idoneo a fronteggiare i pericoli dei big data, dal momento che non se ne occupa direttamente.

    Inoltre, nel caso dei big data, l'impostazione del flusso delle operazioni non è compatibile con l'impostazione del Gdpr, che pretende, a carico del titolare del trattamento, l'esplicitazione, con l'informativa all'interessato, delle finalità di utilizzo prima dell'inizio dell'utilizzo.

    Nel settore dei big data, invece, i dati sono di sovente trattati per scopi predeterminati solo in termini generali e le finalità non vengono, in realtà, specificatamente individuate all'inizio, in ragione dell'emersione delle correlazioni fra i dati solo in fase successiva alla raccolta degli stessi.

    L'impostazione tradizionale (dato ottenuto direttamente dall'interessato, generalmente sulla base del consenso, o comunque individuando preventivamente le responsabilità al trasferimento) si deve confrontare con un fenomeno del tutto nuovo (inedito per il Gdpr) dell'acquisizione massiva di dati personali e dei «parametri d'uso» che vengono acquisiti, per esempio, tramite le app e il loro sistema di permessi.

    Peraltro, si è detto che il Gdpr è «a prima vista» inidoneo, e ciò perché, in realtà allo stato, lacunoso, della legislazione, proprio il Gdpr sembra essere un baluardo in grado di dare un po' di garanzie. Il Gdpr, anche se non tratta direttamente i big data, prevede, infatti, disposizioni a tutela delle persone, in grado di arginare gli abusi anche nel settore dei big data.

    Rimedi tecnologici. Peraltro la via d'uscita, per molti, nota l'Indagine conoscitiva, quella maestra, sarebbe da ricercare nelle soluzioni tecnologiche, prima fra tutte nella effettiva anonimizzazione dei dati che vanno a costituire i Big Data.

    L'impossibilità di risalire al singolo è la tutela più efficace per l'individuo. Ma la letteratura scientifica, come visto sopra, non dà garanzie assolute. Spazio, dunque, all'analisi delle tutele giuridiche.

    Gli strumenti: codici di condotta. Un approccio volto a individuare una griglia sistematica di tutele e non solo semplici prerogative difensive in casi specifici, che il Garante sottolinea con forza, è quello dell'autoregolamentazione.

    Il Garante della privacy ritiene, infatti, necessaria, nel settore dei big data, la via dei codici di condotta.

    Sono prioritarie, si legge nell'Indagine conoscitiva, forme rafforzate di cooperazione, anche percorrendo la via dei codici di condotta previsti dall'articolo 40 del Gdpr.

    Scudo contro le profilazioni. Ma il Gdpr dà strumenti per tutele anche a disposizione del singolo individuo.

    A questo proposito, giocano un ruolo fondamentale i diritti applicabili volti a fronteggiare i potenziali rischi derivanti dalla profilazione e dal processo decisionale automatizzato.

    Ai sensi del Gdpr, infatti, anche la profilazione e i processi decisionali automatizzati devono essere svolti nel rispetto dei principi generali di liceità, correttezza e trasparenza, finalità, minimizzazione, esattezza, limitazione della conservazione e in presenza di una base giuridica per il trattamento.

    Inoltre la profilazione, al pari di ogni altro trattamento, prevede il diritto di opposizione e il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

    In linea di principio, dunque, l'uso dei big data non dovrebbe comportare l'esclusione dell'intervento umano nel processo decisionale, il quale deve potersi dissociare dalla soluzione proposta all'esito del processo automatizzato.

    Portabilità. Altro set di tutele è rinvenibile nel diritto, previsto dal Gdpr, alla portabilità dei dati.

    Per quanto riguarda l'accesso ai dati grezzi (dati non strutturati), per i dati detenuti dalla pubblica amministrazione ci sono norme che prevedono la messa a disposizione del pubblico di quantità importanti di dati, al fine di consentirne il riuso; e per i dati detenuti da poche imprese, il Gdpr prevede il diritto di accesso ai dati personali e la loro portabilità, ai fini del trasferimento dei data set da una piattaforma a un'altra e della possibilità di accedere anche ai metadati.

    I big data. I «big data» non sono definiti per legge, ma con questa espressione si fa riferimento alla raccolta, all'analisi e all'accumulo di ingenti quantità di dati, tra i quali possono essere ricompresi dati di natura personale, provenienti anche da fonti diverse.

    La natura massiva delle operazioni di trattamento rende necessario che tali insiemi di informazioni (sia memorizzate, sia in streaming) siano oggetto di trattamento automatizzato, mediante algoritmi e altre tecniche avanzate, al fine di individuare correlazioni di natura (per lo più) probabilistica, tendenze e modelli.

    In effetti i dati hanno assunto importanza via via crescente nell'organizzazione delle attività di produzione e di scambio, a tal punto da poter essere considerati, oltre che la proiezione della persona nel mondo digitale, anche una risorsa economica a tutti gli effetti, anzi la risorsa di gran lunga più importante in molti settori. Le organizzazioni, private e pubbliche, tendono a raccogliere dati di qualsiasi tipo, a elaborarli in tempo reale per migliorare i propri processi decisionali e a memorizzarli in maniera permanente al fine di poterli riutilizzare in futuro o di estrarne nuova conoscenza.

    La creazione di dati sta seguendo un processo esponenziale: nell'anno 2018 il volume totale di dati creati nel mondo è stato di 28 zettabyte (ZB), registrando un aumento di più di dieci volte rispetto al 2011: si prevede che entro il 2025 il volume complessivo dei dati arriverà fino a 163 ZB. Questa espansione, guidata dall'affermazione delle piattaforme on-line, subirà un'ulteriore accelerazione con la connessione tra oggetti e le applicazioni 5G.

    Fonte: Italia Oggi Sette del 17 febbraio 2020 - Articolo a cura di Antonio Ciccia Messina

  2. pubblica-amministrazione-sbadata-in-canada-compromessi-i-dati-personali-di-144mila-cittadini

     

    Negli ultimi due anni diversi dipartimenti governativi in Canada hanno compromesso le informazioni personali di ben 144.000 persone nell'ambito di 7.992 violazioni. A renderlo noto è un rapporto della Canadian Broadcasting Corporation (CBC) fornendo risposta a un'interrogazione scritta del deputato conservatore Dean Allison.


    Secondo i risultati del rapporto, l'Agenzia delle Entrate canadese (CRA) ha subito il numero maggiore di attacchi informatici con 3.005 violazioni dei dati di 60.000 cittadini canadesi. L'Agenzia delle Entrate ha ricondotto le principali cause delle violazioni a problemi di sicurezza, all'utilizzo errato della posta elettronica e alla condotta negligente dei dipendenti. Il secondo numero più alto di violazioni dei dati è invece stato riscontrato dal servizio sanitario canadese (Health Canada) con 122 data breach che hanno colpito 23.894 persone. Il rapporto ha anche rilevato che l' Agenzia di sanità pubblica del Canada (Public Health Agency of Canada) è stata responsabile di 7 violazioni che hanno colpito 3.725 persone.

    Tra gli altri organismi governativi che hanno segnalato violazioni dei dati figurano i servizi pubblici e gli appalti, che hanno subìto 164 violazioni con 5.149 interessati coinvolti, il Dipartimento dell'occupazione e dello sviluppo sociale del Canada che ha subito 1.421 violazioni a danno di 3.586 interessati, il Dipartimento della Difesa nazionale (DND) con 170 violazioni e 2.273 individui colpiti, e il Dipartimento per l'immigrazione, che ha subìto 3.005 violazioni che hanno coinvolto 4.268 persone.

    Di recente l'ufficio del Commissario per la privacy del Canada aveva comunicato che nel 2019 erano state segnalate circa 680 violazioni della sicurezza, ovvero sei volte tanto quelle dello stesso periodo nel 2018. Stando alle informazioni già rese precedentemente disponibili, pare che il numero di canadesi colpiti da una violazione dei dati sia superiore a 28 milioni, in cui il 58% dei casi riguardava accessi non autorizzati.

    Dati alla mano, su una popolazione complessiva di circa 37,5 milioni di persone, il 75% di esse è stato quindi vittima di una violazione dei propri dati personali negli ultimi dodici mesi.

    Il numero delle violazioni segnalate in Canada è aumentato in maniera esponenziale a seguito del'attuazione del "Personal Information Protection and Electronic Documents Act" (PIPEDA), una nuova normativa entrata in vigore a novembre 2018, la quale prevede la notifica dei data breach.

  3. app-necessaria-piu-trasparenza-ed-utilizzo-consapevole

     

    Informare compiutamente l'utente-consumatore non solo circa gli usi dei dati personali ceduti ma anche sulla necessità di tale cessione relativamente al corretto funzionamento del servizio offerto. È questo uno dei principi su cui si fondano le linee guida e le raccomandazioni di policy contenute nella «Indagine conoscitiva sui big data», realizzata da Autorità per le garanzie nelle comunicazioni, Autorità garante della concorrenza e del mercato e Garante per la protezione dei dati personali.

    Secondo le tre autorità, occorre ridurre le asimmetrie informative che spesso sussistono tra utenti e operatori digitali nella fase di raccolta dei dati, nonché tra le grandi piattaforme digitali e gli altri operatori che di tali piattaforme si avvalgono.

    Il caso delle app. Attualmente si registra, nel caso delle app, una relazione inversa tra prezzo di acquisto delle app stesse e permessi richiesti all'utente. In tali casi, rilevano gli esperti nell'indagine, appare indispensabile che il consumatore, nelle decisioni di acquisto del servizio e di cessione del dato, abbia la piena consapevolezza della relazione tra permessi necessari al funzionamento dell'app stessa e permessi ulteriori richiesti a seguito di cessione del dato.

    Sia l'applicazione della normativa sulla protezione dei dati personali che la strumentazione propria della tutela del consumatore sono in grado di proporre un contributo importante per la riduzione di tale asimmetria informativa, garantendo che gli utenti ricevano un'adeguata, puntuale e immediata informazione circa le finalità della raccolta e dell'utilizzo dei loro dati e siano posti nella condizione di esercitare consapevolmente ed effettivamente le proprie scelte di consumo.

    In tale prospettiva, appaiono opportune misure volte a rendere maggiormente consapevoli i consumatori nel momento in cui forniscono il consenso al trattamento dei loro dati personali.

    Appare, inoltre, ineludibile che si proceda a una progressiva riduzione delle asimmetrie informative tra le grandi piattaforme digitali e gli altri operatori che si avvalgono di tali piattaforme, aumentando la trasparenza dei criteri con i quali i dati vengono analizzati ed elaborati, per esempio nella definizione del ranking relativo al posizionamento e alla visibilità sulla piattaforma, e favorendo l'ingresso di nuovi intermediari dei dati che, su mandato degli utenti e nel rispetto della normativa a tutela della privacy, possano interfacciarsi con le grandi piattaforme globali con un accresciuto potere negoziale in merito alla contrattazione sul valore del dato e sul suo impiego commerciale.

    In ogni caso, nell'indagine si evidenzia la necessità che le autorità di controllo siano messe in condizione di dotarsi di adeguati profili professionali, ossia i data scientist, per garantire l'adempimento dei propri compiti istituzionali.

    Le altre raccomandazioni. Negli ultimi anni i dati hanno assunto importanza sempre crescente nell'organizzazione delle attività di produzione e di scambio: oggi sono considerati una risorsa economica a tutti gli effetti, probabilmente la risorsa più importante in molti settori.

    Il report contiene, quindi, ulteriori indicazioni circa linee guida e raccomandazioni di policy da seguire. Le tre autorità invitano governo e parlamento a interrogarsi sulla necessità di promuovere un appropriato quadro normativo che affronti la questione della piena ed effettiva trasparenza nell'uso delle informazioni personali. Dall'indagine emerge la necessità di rafforzare la cooperazione internazionale sul disegno di policy per il governo dei big data. In tal senso, appare di fondamentale importanza promuovere una policy unica e trasparente circa l'estrazione, l'accessibilità e l'utilizzo dei dati al fine della determinazione di politiche pubbliche a vantaggio di imprese e cittadini, basandosi su un coordinamento tra tale policy e le strategie europee già esistenti per la costituzione di un mercato unico digitale.

    E ancora, le autorità sottolineano che prima delle operazioni di trattamento dei dati bisogna identificare la loro natura e proprietà e valutare la possibilità d'identificazione della persona a partire da dati «anonimizzati».

    Altre indicazioni riguardano l'opportunità di introdurre nuovi strumenti per la promozione del pluralismo online, la trasparenza nella selezione dei contenuti nonché la consapevolezza degli utenti circa i contenuti e le informazioni ricevute online.

    E ancora, è altrettanto importante perseguire l'obiettivo di tutela del benessere del consumatore con l'ausilio degli strumenti propri del diritto antitrust, estendendoli anche alla valutazione di obiettivi relativi alla qualità dei servizi, all'innovazione ed all'equità, riformare il controllo delle operazioni di concentrazioni al fine di aumentare l'efficacia dell'intervento delle autorità di concorrenza, agevolare la portabilità e la mobilità di dati tra diverse piattaforme, tramite l'adozione di standard aperti e interoperabili. Infine, rafforzare i poteri di acquisizione delle informazioni da parte di Agcm e Agcom al di fuori dei procedimenti istruttori con contestuale aumento del massimo edittale per le sanzioni al fine di garantire un efficace effetto deterrente delle norme a tutela del consumatore.

    Fonte: Italia Oggi Sette del 17 febbraio 2020

  4. australia-commento-negativo-sulla-pagina-del-dentista-il-tribunale-obbliga-google-a-fornire-i-dati-dell-utente-anonimo

     

    Il tribunale federale australiano ha ordinato a Google di fornire i dati personali di un utente anonimo che ha lasciato un commento negativo sull'operato di un dentista di Melbourne, secondo quanto riferito da The Guardian.

    Il dottor Matthew Kabbabe sta tentando di denunciare per diffamazione un utente, noto solo per il suo alias CBsm 23. Il dentista ha dichiarato alla Corte che lo scorso novembre ha chiesto a Google di rimuovere il commento negativo, ma la società ha respinto la richiesta. Successivamente, all'inizio di questo mese, ha richiesto nuovamente le informazioni personali di detto utente, ricevendo un secondo rifiuto.

    Ora Google è stata costretta a condividere con il Dr. Kabbabe tutte le informazione sull'utente anonimo, come nome, numero di telefono, indirizzo IP e metadati della posizione.

    Inoltre, Google ha ricevuto l'ordine di fornire informazioni su altri account che potrebbero provenire dallo stesso indirizzo IP.

    L'avvocato Mark Stanarevic ha dichiarato alla ABC che la decisione del Tribunale federale è «innovativa» e ha aggiunto che «oggi un commento negativo può far chiudere un'attività, perché la maggior parte delle persone vive e respira sul web».

    Fonte: Il Mattino

  5. false-identita-e-abusi-sui-social-network-scatta-il-reato-di-sostituzione-di-persona

     

    I social network hanno rivitalizzato il reato di sostituzione di persona, nato per punire condotte ben lontane dal mondo del digitale. Il reato, previsto dall’articolo 494 del Codice penale, ha dato luogo nel passato a una curiosa giurisprudenza che configurava l’illecito in tutti i casi di matrimoni per procura in cui uno dei due coniugi mentiva sul proprio status sociale o addirittura sulla propria identità.

    Per questo ha fatto discutere la sentenza della Corte di cassazione 652 del 10 gennaio scorso, che ha considerato di lieve entità il fatto di creare un falso profilo social, attribuendosi quindi l’identità di un’altra persona, se il fatto è isolato.

    In realtà la pronuncia non afferma che il fatto non sussiste ma che, pur costituendo reato, se commesso una volta soltanto può non essere punibile in base all’articolo 131-bis del Codice penale, che ha introdotto proprio una particolare causa di esclusione della punibilità quando la condotta nel suo complesso viene considerata lieve.

    L’esimente viene concessa in genere per i furti e le truffe di lieve entità. Di recente la giurisprudenza ha allargato le maglie dell’esimente, configurandola ad esempio anche nei casi più lievi di guida in stato di ebbrezza (Cassazione, 44171 del 17 ottobre 2019).

    Il cambio di fattispecie - Nel 2016 la Cassazione aveva stabilito che il marito che si finge single per conquistare l’amante commette il reato di sostituzione di persona. Si trattava del caso di un uomo che per prolungare la relazione con l’amante le aveva anche mostrato un finto atto di annullamento del matrimonio per poi frequentare insieme a lei un corso prematrimoniale. Senza dubbio in questo caso sussiste l’attività ingannatoria che, per pacifica giurisprudenza, sta alla base del reato.

    Da qui a configurare la fattispecie anche nel caso in cui l’utente di Facebook menta sul proprio “status” del profilo web definendosi “single”, il passo è breve e scontato. Spesso la creazione di fake sui social network viene contestata insieme ad altri reati, come la diffamazione, le molestie o gli atti persecutori. Gli autori, infatti, usano i falsi profili per vendicarsi delle vittime, offenderle o perseguitarle. In questi casi, ovviamente, non c’è clemenza da parte dei giudici. Determinante è anche il contesto.

    Così viene condannato chi crea un falso profilo per molestare minorenni o per denigrare la vittima. In questi casi non vengono concesse neppure le attenuanti generiche (Cassazione, sentenza 38911 del 12 giugno 2018). Il bene giuridico protetto dalla norma è la fede pubblica, quindi anche la pluralità indistinta degli utenti, considerazione che giustifica la sua procedibilità d’ufficio. Quando si creano false identità virtuali o falsi profili Facebook non si lede soltanto la fiducia del singolo utente ma si turba un equilibrio più ampio, quello della comunità intera degli utenti che devono poter fare affidamento sulla lealtà delle identità con le quali intrattengono rapporti virtuali. Per questo non vanno sottovalutate le condotte che però devono essere opportunamente pesate caso per caso.

    Attenzione, perché anche la falsa attribuzione di una qualifica professionale può integrare il reato. La norma punisce infatti anche le attribuzioni di qualità cui la legge attribuisce effetti giuridici. Si pensi alle false identità su skype o su social network di chi millanta posizioni professionali di prestigio per corteggiare le vittime, invitarle a falsi colloqui di lavoro o per aumentare i propri follower.

    Le conseguenze -  Vecchie e nuove falsificazioni finiscono in tribunale con esiti spesso diversi. Così c’è chi preferisce chiedere la sospensione del processo penale con la messa alla prova, cancellando il reato con lavori socialmente utili; oppure chi paga decreti penali di condanna o sceglie la via del patteggiamento. Ma, anche se il fatto viene considerato tenue, non c’è troppo da rallegrarsi: il reato in realtà c’è, viene iscritto nel casellario, e può dar luogo in sede civile al risarcimento del danno, come ha stabilito la Cassazione con la sentenza 32010 dell’8 marzo 2018.

    Fonte: Il Sole 24 Ore del 17 febbraio 2020