#PRIVACY TALK – Pronti, partenza, via!

Si chiama, anzi si chiamerà perché dobbiamo ancora cominciare, #privacytalk, l’ultima tra le #cosedagarante per discutere e far discutere di valore e protezione dei dati personali.

L’idea è semplice, un ciclo di incontri, itineranti, secondo la Chatam rule, davanti a un bicchiere di vino, venti – venticinque persone rappresentative di stakeholders pubblici o privati, sempre – o quasi – diverse a seconda il tema dell’incontro.

Chi vuole, se qualcuno ne ha voglia, propone, chi può organizza, altrimenti lo facciamo noi.

L’importante è scegliere il tema giusto, una questione controversa, attuale, della quale ha senso discutere alla ricerca di soluzioni o, semplicemente, per chiarirne i termini.

Il format è l’unica cosa sempre eguale a sé stessa: novanta minuti, dalle 18.30 alle 20.00, il lunedì, salvo eccezioni, in piedi o seduti, al chiuso o all’aperto – non appena la stagione lo consentirà, i primi venti muniti sono per un keynote speaker, poi ognuno dice la sua.

Che ne dite? Ci proviamo? Dal caos talvolta nasce l’ordine ma qui ci basta nasca la voglia di stare insieme, condividere e confrontarci su temi e questioni che ci stanno a cuore.

Si comincia a metà marzo!

Chi vuole proporre un incontro può scrivere a segreteria.scorza@gpdp.it .

Video figlia Eva Kaili: Garante privacy, grave lesione della riservatezza del minore

Il comunicato del Garante

Video figlia Eva Kaili: Garante privacy, grave lesione della riservatezza del minore

Gira sul web il video della figlia di Eva Kaili, la ex vicepresidente dell’Europarlamento, che ritrae la bambina che arriva al carcere di Haren, in Belgio, in visita alla madre.

Il video – privo di un qualsiasi interesse pubblico rispetto alla vicenda dell’eurodeputata – non solo viola la riservatezza e l’anonimato della bambina, ma risulta lesivo della sua personalità e del suo sviluppo psico-fisico, comportando la permanenza in rete di immagini per un tempo potenzialmente infinito e privando, di conseguenza, la bambina del diritto a non doversi ritrovare, in un prossimo futuro, a rivivere certi tristi momenti.

Il Garante per la protezione dei dati personali invita dunque gli organi di stampa, i siti di informazione e i social media ad astenersi dal diffondere il video e richiama l’attenzione al rispetto delle regole deontologiche nell’esercizio dell’attività giornalistica e della Carta di Treviso, che impongono una tutela rafforzata per i più piccoli e di non pubblicare dettagli che, anche indirettamente, consentano di identificare un minore.

L’Autorità Garante si riserva interventi di sua competenza nei confronti delle testate che hanno violato le regole deontologiche.

Roma, 9 gennaio 2023

Qui la versione originale sul sito del Garante

Telemarketing: primo numero bloccato ;-)

Da oggi ogni volta che riceverò una telefonata di telemarketing da chi non sarà in grado di dirmi dove abbia preso il mio numero e perché lo utilizzi nonostante la mia iscrizione nel registro delle opposizioni, farò poche cose semplicissime:

(a) verificherò presso il registro gestito da AGCOM se la numerazione dalla quale proviene la chiamata è riconducibile a un operatore che, nel rispetto delle regole, si è reso identificabile e, qualora non sia così…

(b) bloccherò la relativa numerazione sul mio telefono e

(d) se il numero risultasse intestato a un operatore iscritto presso il relativo registro segnalerò qui ai nostri uffici, come un qualsiasi privato cittadino, la telefonata di disturbo ricevuta con tutti gli elementi in mio possesso.

Suggerirei a tutti di fare altrettanto, costa poco e potrebbe far passare a qualcuno la voglia di violare le regole.

Nel mio primo caso il numero chiamante era +393501627447 e l’operatrice, prima di mettere giù il telefono a seguito della mia richiesta sull’origine dei miei dati e sul perché mi chiamasse nonostante la mia iscrizione nel registro delle opposizioni, ha dichiarato di chiamare da una non meglio precisata “società per l’energia elettrica”. Il numero (come racconta lo screenshot qui sopra) non è risultato iscritto presso il registro degli operatori di comunicazione.

Le iniziative delle altre Autorità

Sanzione da 8 milioni di euro del Garante francese (CNIL) a Apple

Il 29 dicembre 2022, il Garante privacy francese (CNIL) ha inflitto una sanzione da 8 milioni di euro ad Apple Distribution International per aver utilizzato gli identificatori memorizzati sui devices degli utenti francesi di iPhone (versione iOS 14.6) a fini pubblicitari.

A seguito di una serie di ispezioni, condotte dalla CNIL tra il 2021 e il 2022, è emerso che con la versione 14.6 del sistema operativo dell’iPhone, quando un utente visitava l’App Store, gli identificatori – utilizzati per vari fini, tra cui quello pubblicitario – venivano letti automaticamente senza ottenere il consenso.

Infatti, le impostazioni di targeting pubblicitario disponibili dall’icona “Impostazioni” dell’iPhone erano preselezionati by default e per disattivarle l’utente avrebbe dovuto eseguire diverse azioni (cliccare sull’icona “Impostazioni” dell’iPhone, poi andare nel menu “Privacy” e infine nella sezione “Pubblicità Apple”).

Pertanto la CNIL, riscontrando una violazione dell’art. 82 della Loi Informatique et Libertés ha sanzionato Apple Distribution International per 8 milioni di euro. Nel valutare l’importo l’Autorità transalpina ha tenuto conto del numero di persone coinvolte in Francia e dei profitti che l’azienda ha ottenuto grazie agli introiti pubblicitari indirettamente generati dai dati raccolti, ma anche dell’ambito limitato del trattamento (App Store) e del fatto che l’azienda si è poi adeguata.

È interessante notare che la CNIL si è considerata competente sulla vicenda da cui è scaturita la sanzione senza attivare il meccanico dello one-stop shop previsto dal GDPR. Infatti, l’Autorità ha ritenuto che le operazioni connesse all’uso degli identificatori rientrassero nell’ambito di applicazione della direttiva ePrivacy, recepita appunto nell’art. 82 della Loi Informatique et Libertés.

Inoltre, un altro elemento che ha fatto propendere la CNIL per l’affermazione della sua competenza territoriale è il fatto che gli identificatori siano stati utilizzati ne quadro delle attività di Apple Retail France e Apple France, vale a dire “stabilimenti” del gruppo Apple in Francia. Tuttavia, la sanzione è stata irrogata ad Apple Distribution International (società con sede in Irlanda) in quanto ritenuta responsabile degli annunci personalizzati sull’App Store.

Privacy e test genetici | Ne parlo con Vanity Fair

Vanity Fair, sul numero in edicola, con la bella penna di Nina Verdelli affronta la questione spinosa dei test genetici, inclusi quelli ormai venduti online per pochi euro o offerti – si fa per dire – gratis ai lavoratori e ha voluto sentirmi.

Italia decima al mondo per violazioni dei dati

ZCZC4138/AMZ
XSP23003007861_AMZ_A052
R CRO INT A052
(ANSA) – MILANO, 03 GEN – Una nuova ricerca elenca i dieci Paesi al mondo maggiormente bersagliati dalle violazioni di dati. L’Italia si colloca al 10∞ posto con 4.193.083 violazioni ogni milione di abitanti. Gli esperti di Proxyrack, azienda che analizza il traffico web a livello globale, hanno individuato i settori su cui i criminali informatici puntano di più, per un ritorno economico. In cima alla lista c’è l’healthcare, seguito dalle organizzazioni finanziarie e da quelle farmaceutiche. Nel 2021, il costo medio della violazione dei dati per le aziende con un numero di dipendenti remoti compreso tra l’81% e il 100%
È stato di oltre 5,5 milioni di dollari, mentre per le imprese che hanno tra il 61% e l’80% di lavoratori fuori dall’ufficio, il costo medio delle violazioni si aggira intorno ai 4,4 milioni di dollari. Gli Stati Uniti pagano il prezzo pi˘ alto in termini di furto o perdita delle informazioni, con un costo medio di 9,05 milioni di dollari. Il Medio Oriente segue con 6,93 milioni di dollari mentre il Canada Ë terzo, con 5,40 milioni di dollari. In riferimento ai Paesi pi˘ colpiti, se l’Italia chiude la top ten, Usa, Francia e Sud Sudan guidano la classifica, con Repubblica Ceca, Germania e Singapore che seguono a ruota.
Canada, Portogallo e Australia completano il quadro. Il costo medio di una violazione dei dati nel settore sanitario Ë di 9,23 milioni di dollari, il pi˘ alto di tutti i comparti analizzati.
Il finanziario è al secondo posto, con 5,27 milioni di dollari.
Poco sotto il farmaceutico, che supera i 5 milioni di dollari.
(ANSA).

YFF-DCL
2023-01-03 11:32 NNNN

PRIVACY DAILY | 2/2023

È da leggere il rapporto della Polizia Postale 2022 appena pubblicato.

Racconta di un’attività straordinaria dalla parte dei più fragili ma, purtroppo, al tempo stesso offre uno spaccato di una società digitale lontana anni luce da quella che vorremmo nella quale, specie i più piccoli, non possono sentirsi al sicuro. C’è tanto da lavorare.

Arriva, invece, dagli Stati Uniti, un’ulteriore conferma, per la verità non necessaria e della quale avremmo tutti fatto volentieri a meno, della pericolosità delle tecnologie di riconoscimento facciale applicate alla repressione del crimine con un uomo arrestato e trattenuto per una settimana in prigione perché ritenuto colpevole – a causa di un errore di un sistema di riconoscimento facciale intelligente – di furti che non aveva mai commesso.

Si chiama Pig Butchering Scam ed è una delle ultime e più efficaci tecniche, essenzialmente basata sull’ingegneria sociale, per svuotarci il portafogli – specie quello digitale – dopo essersi conquistati la nostra fiducia e averci fatto credere di volercelo, in realtà riempire. Wired, in un bell’articolo da non perdere, racconta come funziona.

Greenpass cartaceo: istruzioni per un uso a prova di privacy

Sui social, nelle ultime ore, si è aperta un’interessante discussione sulla circostanza che il Greenpass in versione cartacea conterrebbe tutti i dati personali (particolari) vanificando, di fatto, gli sforzi che si sono compiuti per far sì che, attraverso il suo uso, venisse resa nota esclusivamente la circostanza che il suo titolare si trovi in una qualsiasi delle condizioni che ne legittimano il rilascio: effettuazione del vaccino, guarigione dal Covid 19, tampone con esito negativo.

In effetti non è proprio così ma la circostanza che se ne discuta è sintomatica di qualche dubbio che è opportuno fugare.

Il Greenpass può essere acquisito tanto in forma digitale che in forma cartacea e può essere utilizzato in entrambe le versioni.

Sul sito www.dgc.gov.it sono spiegati i diversi canali e app attraverso i quali è possibile acquisire entrambe le versioni del Greenpass che può, comunque, essere acquisito attraverso lo stesso sito.

Se si sceglie di dotarsi del Greenpass in formato cartaceo si può stampare o la versione integrale del certificato (formato A4) o il solo QR Code che è, comunque, sufficiente per tutti gli usi previsti dalla legge giacché i verificatori, tanto che venga loro esibita la versione digitale, tanto che venga loro esibita la versione cartacea sono, comunque, tenuti a verificarne la validità esclusivamente inquadrando il relativo QR-Code attraverso l’apposita app.

Se si sceglie di stampare il solo QR-code il rischio di mostrare più dati di quelli necessari è escluso alla radice perché sul foglio di carta verrà evidentemente riprodotto il solo QR-code che una volta scansionato consentirà al verificatore esclusivamente di accedere alla conferma della validità del Greenpass, al nome e al cognome e alla data di nascita del suo titolare.

Se si sceglie di stampare la versione integrale del certificato (formato A4), prima di usarlo – ovvero di esibirlo per la verifica – bisognerà avere l’accortezza di piegare il foglio in quattro seguendo le apposite linee tratteggiate e le istruzioni visive presenti sul certificato medesimo in modo tale che la faccia con il QR-code resti esterna e esibire ai verificatori esclusivamente questa faccia del foglio piegato in quattro.

Per qualcuno, magari, era già chiaro ma chiarirlo a chi non ci avesse pensato costa davvero poco.

Buona prosecuzione di vacanze o buon rientro al lavoro!

#cosedagarante | L’agenda della settimana (31 maggio-6 giugno)

Settimana di ponte lungo per qualcuno, da qualche parte.

Non da queste parti dove l’attività non si ferma come è naturale che sia.

La settimana è appena iniziata alla solita maniera con una nuova puntata di #Garantismi, la mezz’ora di chiacchierata ormai tradizionale con Matteo Flora: questa volta parliamo di privacy e terze parti e di come incaricare qualcuno di svolgere un trattamento di dati personali non sollevi il titolare del trattamento dai propri obblighi e dalle proprie responsabilità.

Qui il link.

La settimana è, finalmente – perché ne avevo davvero bisogno – dedicata a studiare e chiudere un po’ di cose rimaste aperte troppo a lungo tra le quali un libro per i più giovani e per i loro genitori e un paio di iniziative da proporre qui in Autorità.

Ma sarà anche settimana di alcuni incontri particolarmente importanti in relazione ad alcuni progetti di Paese connessi alla ripartenza.

Ho cercato – tendenzialmente con successo aiutato anche dal ponte – di tenere la settimana libera da eventi pubblici e, quindi, per una volta, credo la prima dall’inizio del mandato, questa agenda sta in poco più di mille caratteri spazi inclusi.

Buona settimana a tutti e, naturalmente, non esitate a contattarmi, se utile!

#cosedagarante | Cronaca sì ma con giudizio e rispetto della persona

C’è una studentessa di ventuno anni che sta affrontando uno dei momenti più difficili della sua vita affrontando la violenza sessuale che sembra aver subito – il “sembra” è solo rispetto per la nostra Costituzione e per la presunzione di innocenza – da Antonio Di Fazio, un imprenditore che l’avrebbe prima drogata, poi violentata e quindi fotografata.

Oggi, dalle colonne de La Repubblica, oltre che giustizia ha chiesto privacy.

“Si eviti di entrare in dettagli di narrativa e non di cronaca”, sono le sue parole.

La giustizia che chiede gliela daranno i Giudici che stanno indagando sulla vicenda.

Garantirle la privacy sta a tutti noi, giornali, radio e televisioni in testa.

I dettagli di quella violenza che sta a lei e solo a lei decidere se e quanto in fretta rimuovere, rielaborare, cancellare e, soprattutto, se e a chi raccontare non servono per raccontarla, serviranno, magari, ai Magistrati ma questa è un’altra storia.

Rispettiamo la vittima, rispettiamo la sua privacy ed evitiamo di renderla vittima una seconda volta della morbosità dei media e dei social perché, a volte, le parole fanno male quanto tutto il resto.