L’Autorità Garante Privacy norvegese ha scelto i primi quattro progetti che parteciperanno alla “sandbox” per un’intelligenza artificiale responsabile. 

I quattro progetti sono:

  • Age Labs: utilizzo dell’apprendimento automatico per sviluppare la diagnostica predittiva per le malattie legate all’età.
  • KS: analizzare i dati degli studenti da vari strumenti di apprendimento, per aiutare l’insegnante ad adattare l’insegnamento e il lavoro di valutazione.
  • NAV: utilizzo dell’apprendimento automatico per prevedere la durata del congedo per malattia.
  • “Secure Practice”: “profilare” i dipendenti in relazione al rischio di sicurezza informatica che rappresentano per l’azienda e essere in grado di adattare le misure.

“Siamo felici di avere l’opportunità di essere un pioniere nella sandbox. Per noi è importante promuovere l’innovazione della privacy nello stesso momento in cui guidiamo l’innovazione tecnologica” ha affermato Erlend Andreas Gjære, CEO di Secure Practice.

Molti settori

Age Labs e Secure Practice, insieme a KS e NAV, sono stati i quattro candidati che hanno superato una selezione molto “affollata”.

“ progetti selezionati rappresentano sia il settore pubblico che quello privato, progetti maturi e freschi, e provengono da aziende consolidate e piccole start-up”  afferma il project manager del garante norvegese Kari Laumann.

La sandbox normativa è un’iniziativa nata dalla strategia AI del governo norvegese  pubblicata un anno fa. Il governo vuole facilitare l’innovazione, un maggiore utilizzo e la condivisione dei dati nel settore pubblico e la sandbox normativa presso l’autorità norvegese per la protezione dei dati è uno strumento importante in questo lavoro.

Entrare in un campo minato

I quattro progetti rappresentano salute, welfare, istruzione e impresa. NAV utilizzerà l’IA per prevedere la durata del congedo per malattia, al fine di concentrare gli sforzi su coloro che probabilmente richiedono il massimo follow-up. KS creerà uno strumento di apprendimento che aiuta gli insegnanti a fornire agli studenti valutazioni migliori e compiti personalizzati. Age Labs applicherà l’apprendimento automatico ai dati epigenetici per rilevare malattie future. E Secure Practice vedrà fino a che punto è possibile arrivare nel campo minato della profilazione dei dipendenti, senza oltrepassare il limite legale.

Essere ammessi alla sandbox non è un timbro di approvazione o una garanzia che raggiungeranno un obiettivo con un risultato che riteniamo accettabile dal punto di  della privacy. 

In concorrenza con la tecnologia AI estera proveniente da paesi in cui la privacy non ha la stessa posizione, il governo vuole offrire un vantaggio ai cittadini norvegesi per ottenere buone soluzioni di AI che tengano conto anche della privacy.

https://go.nordpass.io/SH33f


Nominato in ritardo il Responsabile della protezione dati e diffusi i curricula di 5000 manager

Il Garante per la privacy ha ordinato al Mise il pagamento di una sanzione di 75mila euro per non avere nominato il Responsabile della protezione dati (Rpd) entro il 28 maggio 2018, data di piena applicazione del Gdpr, e avere diffuso sul sito web istituzionale informazioni personali di oltre 5mila manager.

Per la prima volta l’Autorità ha sanzionato una Pa per non avere designato il Rdp entro il termine stabilito ed avere provveduto alla nomina e alla comunicazione al Garante dei dati di contatto con notevole ritardo. Ciò nonostante il Garante avesse, fin dal maggio 2017, avviato una articolata attività informativa rivolta a tutti i Ministeri, indicando proprio la nomina del Rpd tra le priorità da tenere in considerazione nel percorso di adeguamento al nuovo quadro giuridico del Regolamento.

La mancata nomina, è emersa nel corso di una istruttoria, aperta dall’Ufficio anche a seguito di alcune segnalazioni, con la quale è stata accertata la presenza sul sito del Ministero di una pagina web con un elenco di manager nella quale erano visibili e liberamente scaricabili i dati personali di più di cinquemila professionisti: nominativo, codice fiscale, e-mail, curriculum vitae integrale con telefono cellulare e, in alcuni casi copia del documento di riconoscimento e della tessera sanitaria. All’elenco avrebbero dovuto attingere le piccole e medie imprese, destinatarie dei voucher previsti dalla legge di bilancio 2019, per l’acquisto di consulenze volte a sostenere i processi di trasformazione tecnologica e digitale.

Dal sito era inoltre possibile scaricare anche il decreto direttoriale con il quale l’elenco era stato approvato, contenente dati e informazioni di tutti i manager. Nel rilevare l’illiceità del trattamento, il Garante ha ritenuto che il decreto direttoriale richiamato dal Mise, contrariamente a quanto da esso sostenuto, non costituisce una adeguata base normativa per la diffusione dei dati online.

L’Autorità ha ritenuto, inoltre, che la pubblicazione integrale dei curricula, senza alcun filtro, rappresenta un trattamento di dati sproporzionato, non in linea con i principi del Gdpr. Per consentire l’incontro tra la domanda delle società e l’offerta di consulenza da parte dei manager sarebbe stato sufficiente utilizzare strumenti meno invasivi rispetto alla pubblicazione sul web dei dati e delle informazioni di tutti i manager, evitando così il rischio di esporli ad utilizzi non legittimi da parte di terzi (es.: furti d’identità, profilazione illecita, phishing, ecc.). Si sarebbero potute prevedere, ad esempio, forme di accesso selettivo ad aree riservate del sito istituzionale mediante l’attribuzione di credenziali di autenticazione (es. username o password), oppure ancora tramite gli strumenti previsti dal CAD, che permettessero la consultazione solo alle Pmi interessate.

FONTE: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9556705

Il 2020 è stato l’anno dei data breach. Oltre mezzo miliardo di record personali sono stati considerati persi / violati a causa di attacchi informatici.

Le minacce di phishing, ransomware e malware è più grave di quanto un semplice cittadino possa immaginare. Queste minacce oggi influenzano il modo in cui facciamo business, effettuiamo transazioni finanziarie, acquisti online e persino quando comunichiamo con gli altri. 

Mentre iniziare a vendere online è diventato relativamente semplice, tenere al sicuro i dati da hacking, phishing e altri attacchi informatici non lo è. È un incubo per la maggior parte degli imprenditori online. 

Per i proprietari di piccole imprese, il rischio è ancora maggiore poiché la scelta delle misure di sicurezza è spesso al di là della portata delle risorse che hanno a disposizione. 

Ecco 8 modi comprovati in cui una piccola impresa che fa commercio online può garantire la sicurezza a sé stessa e ai propri clienti. 

1. Raccogli solo i dati che utilizzerai

Non raccogliere dati solo perché puoi. Potrebbe benissimo diventare un problema aggiuntivo in caso di data breach. l principio di minimizzazione dei dati fa parte dei principi in base ai quali si effettua il trattamento dei dati. Esso parte dall’idea che, salvo poche eccezioni, un titolare deve trattare solo i dati di cui ha realmente bisogno per raggiungere le finalità del trattamento.

Quasi tutte le landing page e i form di registrazione online sono ottimizzate per raccogliere tante informazioni. È facile raccogliere l’e-mail del cliente, il numero di telefono o anche i numeri della carta di credito. Ma prima di raccogliere e accumulare queste informazioni importanti, sarebbe opportuno domandarsi se sono davvero necessari.

Per un e-commerce, non è necessario raccogliere tutte le informazioni possibili da un cliente. Se tali informazioni sono sensibili e che, se violate, possono causare gravi perdite, problemi ai clienti e danni di immagine all’azienda, è meglio non raccoglierle. 

2. Non memorizzare le informazioni sulla carta di credito del cliente

Come per il punto precedente ma con un leggero Add-On. I numeri di carta di credito e i nomi dei clienti sono essenziali per facilitare un rapido checkout. Tuttavia, non è necessario archiviarli nei server online. Archiviare informazioni così sensibili online è come raddoppiare la scommessa sulla sicurezza informatica. In effetti, è una violazione importante degli standard PCI. 

Se queste informazioni sensibili vengono perse, ti ritroverai con una reputazione danneggiata e anche sanzioni legali per le perdite causate ai clienti. Come regola generale, non memorizzare online informazioni sensibili come il numero di carta di credito del cliente. Se proprio necessario e sei autorizzato, conservali in un archivio offline dove sono lontani dalla portata degli hacker. Nel caso degli e-commerce il meglio è utilizzare dei sistemi di pagamento PayPal, Stripe, ecc. per gestire l’intera transazione relativa alla carta di credito in maniera sicura e protetta.

3. HTTP + TLS= HTTPS

I certificati TLS (Transport Layer Security) standard successore del più famoso SSL (Secure Socket Layer), sono soluzioni chiavi in ​​mano che crittografano i dati scambiati durante la navigazione delle pagine web. La crittografia TLS è la migliore forma di sicurezza online che puoi fornire ai tuoi clienti. Un certificato TLS può aiutare a impedire agli hacker di intercettare le informazioni scambiate tra un browser web e un server. 

Oltre a fornire un livello di sicurezza aggiuntivo al firewall, TLS aiuta anche ad amplificare l’affidabilità del sito Web, in particolare un negozio di e-commerce. Dopo la configurazione del certificato SSL, la barra degli indirizzi del negozio evidenzierà l’URL in verde accanto al simbolo di un lucchetto verde. 

La configurazione del tuo sito web con certificato TLS lo renderà anche conforme agli standard PCI DSS. Fornisce il doppio del vantaggio al costo di uno. Triste a dirsi (sembra incredibile) nel 2021 ci sono ancora siti web, anche e-commerce, in http. 

4. Essere conforme allo standard PCI DSS

La conformità PCI DSS è un must per qualsiasi sito web che effettua transazioni di denaro online. Lo standard di protezione dei dati PCI è adottato da tutte le società di carte di credito del mondo. È un parametro universalmente accettato per la sicurezza dell’e-commerce che identifica un sito Web come sicuro per effettuare transazioni di denaro. I livelli di conformità PCI DSS sono i seguenti. Confronta le metriche del tuo negozio e implementa le misure di sicurezza di conseguenza:

5. Aggiorna sempre il tuo sito web

Le applicazioni e il software che non sono aggiornati alle ultime versioni sono soggetti a hacking. Possono essere facilmente penetrati da criminali informatici che sfruttano a proprio vantaggio le vulnerabilità delle versioni precedenti. Gli hacker dispongono di software in grado di eseguire la scansione dei siti Web e di rintracciare sistemi o siti Web non adeguatamente protetti. Per evitare una tale possibile perdita, il modo migliore per procedere è aggiornare le release sw man mano che vengono rilasciate dai fornitori/produttori. 

6. Attenzione alle app e ai siti web falsi

Gli hacker ora stanno scrivendo app che sembrano identiche alle app originali. I clienti sono maggiormente esposti al rischio di inserire informazioni personali in APP o SITI fake/truffa. 

Il modo migliore per contrastare app e siti Web falsi è fornire l’autenticazione a due fattori. L’autenticazione a due fattori garantisce che il cliente acceda e invii informazioni solo a siti Web credibili e legittimi. 

7. Verifica chi ha accesso e a cosa

Secondo alcune statistiche, oltre il 62% delle fughe di dati aziendali è originata da addetti ai lavori. Gli attacchi interni sono in costante aumento dal 2014 e hanno raggiunto livelli allarmanti nel 2020. 

Rivedere periodicamente chi ha accesso e a che tipo di dati, chi può apportare modifiche  e controllare tali diritti di accesso, è parte integrante della sicurezza del sito web e dell’azienda nella sua interessa. Nel settore dell’e-commerce, ciò si traduce nella configurazione di controlli di accesso per amministratori, dipendenti, fornitori e clienti. 

8. Richiedi password complesse ai clienti

La sicurezza del tuo e-commerce inizia dai clienti. Sono i principali custodi delle proprie informazioni riservate. La loro sicurezza inizia con password complesse che non possono essere violate facilmente. 

Un negozio di e-commerce customer-oriented richiederà ai propri clienti di utilizzare password complesse che contengano un insieme di lettere, numeri e simboli. 

Migliora la sicurezza del tuo sito web

Ogni anno che passa, il numero di violazioni e minacce alla sicurezza aumenta in maniera esponenziale. La necessità di attuare serie misure di sicurezza come certificati TLS, controllo dell’accesso, autenticazione a due fattori, ecc. È diventata indispensabile. 

Sebbene abbiamo esposto 8 dei principali modi in cui le aziende possono migliorare la sicurezza del proprio sito Web/e-commerce, ci sono ancora altre azioni che possono essere esplorate e implementate. Tali ulteriori misure di sicurezza possono essere implementate come un nuovo inizio verso il raggiungimento della sicurezza completa dell’e-commerce.

E Tu, cosa hai fatto per rassicurare i clienti che il tuo e-commerce è sicuro?

Human face on a dark background of gold glowing particles; Shutterstock ID 1690467910

Il riconoscimento facciale (in inglese face detection) è una tecnica di intelligenza artificiale, utilizzata in per identificare o verificare l’identità di una persona a partire da una o più immagini che la ritraggono. Ciò avviene anche grazie all’elaborazione automatica delle immagini digitali contenenti i volti degli individui. Gli usi di questa tecnologia sono molteplici e vari, alcuni dei quali possono gravemente violare i diritti degli interessati. Ad esempio, l’integrazione delle tecnologie di riconoscimento facciale nei sistemi di sorveglianza rappresenta un serio rischio per i diritti alla privacy e alla protezione dei dati personali, nonché per altri diritti fondamentali poiché gli usi di queste tecnologie non prevedono sempre la consapevolezza o la cooperazione delle persone i cui dati biometrici vengono elaborati.

Il 28 gennaio 2021, il Comitato della Convenzione 108 ha adottato le Linee guida sul riconoscimento facciale che forniscono una serie di misure di riferimento che i governi, gli sviluppatori di sistime che prevedono l’utilizzo di algoritmi per il riconoscimento facciale, i produttori, i fornitori di servizi e gli enti che utilizzano le tecnologie di riconoscimento facciale dovrebbero seguire e applicare per garantire che non pregiudichino la dignità umana, i diritti umani e le libertà fondamentali di qualsiasi persona, compreso il diritto alla protezione dei dati personali.

https://www.coe.int/en/web/data-protection/-/ensure-that-facial-recognition-does-not-harm-fundamental-rights

L’European Data Protection Supervisor ha pubblicato oggi (10.02.2021) pareri sulle proposte della Commissione europea per una legge sui servizi digitali e una legge sui mercati digitali. Entrambi i pareri mirano ad aiutare i legislatori dell’UE a plasmare un futuro digitale radicato nei valori dell’UE, compresa la protezione dei diritti fondamentali delle persone, come il diritto alla protezione dei dati.

Il EDPS accoglie con favore la proposta di una legge sui servizi digitali che mira a promuovere un ambiente in linea trasparente e sicuro. Nel suo parere, l’Autorità raccomanda misure aggiuntive per proteggere meglio le persone quando si tratta di moderazione dei contenuti, pubblicità mirata online e sistemi di raccomandazione utilizzati dalle piattaforme online, come i social media e i mercati.

Wojciech Wiewiórowski del EDPS, ha dichiarato: “Prendiamo atto che la proposta non impone un obbligo generale di monitoraggio, conferma ragionevoli esenzioni di responsabilità e le integra con un sistema paneuropeo di norme di avviso e di azione, finora mancanti“.

L’EDPS sottolinea che qualsiasi forma di moderazione dei contenuti dovrebbe avvenire nel rispetto dello Stato di diritto. La profilazione ai fini della moderazione dei contenuti dovrebbe essere vietata a meno che il fornitore di servizi online non possa dimostrare che tali misure sono strettamente necessarie per affrontare i rischi sistemici esplicitamente identificati nella legge sui servizi digitali. Inoltre, i legislatori europei dovrebbero prendere in considerazione il divieto della pubblicità mirata online basata su un monitoraggio pervasivo e limitare le categorie di dati che possono essere elaborate per tali metodi pubblicitari. Nel suo parere sulla legge sui mercati digitali, l’EDPS accoglie con favore la proposta della Commissione europea che cerca di promuovere mercati digitali equi e aperti e il trattamento equo dei dati personali regolamentando le grandi piattaforme online che fungono da guardiani.

Wojciech Wiewiórowski, EDPS, ha affermato: “La concorrenza, la protezione dei consumatori e la legislazione sulla protezione dei dati sono tre settori politici inestricabilmente collegati nel contesto dell’economia delle piattaforme online. Pertanto, la relazione tra queste tre aree dovrebbe essere una relazione di complementarità, non di attrito“.

L’EDPS sottolinea l’importanza di promuovere mercati digitali competitivi in ​​modo che le persone abbiano una scelta più ampia di piattaforme e servizi online che possono utilizzare. Dare agli utenti un controllo migliore sui propri dati personali può rafforzare la contendibilità nei mercati digitali. Una maggiore interoperabilità può aiutare ad affrontare il blocco degli utenti e, in ultima analisi, creare opportunità per i servizi per offrire una migliore protezione dei dati.

Per garantire la corretta attuazione del pacchetto della legge sui servizi digitali della Commissione europea, l’EDPS chiede una base giuridica e una struttura chiare per una più stretta cooperazione tra le autorità di controllo competenti, comprese le autorità per la protezione dei dati, le autorità per la protezione dei consumatori e le autorità garanti della concorrenza.

https://edps.europa.eu/press-publications/press-news/press-releases/2021/edps-opinions-digital-services-act-and-digital_en

Dopo la rivolta del Campidoglio a Capitol Hill, Clearview AI, un’app di riconoscimento facciale utilizzata dalle forze dell’ordine, ha registrato un picco di utilizzo, ha affermato l’amministratore delegato della società, Hoan Ton-That.

“C’è stato un aumento del 26% delle ricerche rispetto al nostro volume di ricerca abituale nei giorni feriali”, ha detto il Ton-That.

Ci sono ampie foto e video online di rivoltosi, molti smascherati, che violano il Campidoglio. L’FBI ha pubblicato i volti di dozzine di loro e ha richiesto assistenza per identificarli . I dipartimenti di polizia locali in tutto il paese stanno rispondendo alla richiesta di supporto.

“Stiamo esaminando attentamente le immagini o i video disponibili da qualsiasi sito a cui abbiamo accesso”, ha detto Armando Aguilar, assistente capo presso il dipartimento di polizia di Miami, che sovrintende alle indagini.

I detective che stanno usando Clearview per cercare di identificare i rivoltosi e stanno inviando le segnalazioni all’ufficio della Joint Terrorism Task Force dell’FBI a Miami. 

I tradizionali strumenti di riconoscimento facciale utilizzati dalle forze dell’ordine dipendono da database contenenti foto fornite dal governo, come foto della patente di guida e foto segnaletiche. Ma Clearview, utilizzato da oltre 2.400 forze dell’ordine, secondo la società, si basa invece su un database di oltre 3 miliardi di foto raccolte dai social media e da altri siti web pubblici. Quando un agente esegue una ricerca, l’app fornisce collegamenti a siti sul Web in cui è apparso il volto della persona.

Clearview, in poco tempo, è diventato controverso. Dopo che il New York Times ha rivelato la sua esistenza e l’uso diffuso lo scorso anno, i legislatori e le società di social media hanno cercato di ridurne le attività, temendo che le sue capacità di riconoscimento facciale potessero aprire la strada a un futuro distopico.

Anche il Dipartimento di Polizia di Oxford in Alabama sta usando Clearview per identificare i sospetti di rivolta del Campidoglio e sta inviando informazioni all’FBI.

Il riconoscimento facciale, per quanto accurato, non è uno strumento perfetto. Le forze dell’ordine affermano che il riconoscimento facciale viene utilizzato solo come indizio in un’indagine e non come prova, sebbene ciò sia accaduto in passato.

Interessante comunque l’approccio alla gestione della privacy con una pagina dedicata dove, grazie a una serie di collegamenti a moduli automatizzati viene offerta la possibilità di esercitare i propri diritti sulla privacy dei dati, soggetti a limitazioni che variano a seconda della giurisdizione.  I collegamenti sono organizzati con moduli pertinenti e suddivisi per aree:

Per il grande pubblico:

Per i residenti in California:

Per i residenti in Illinois:

Per i residenti in Canada:

Per i residenti in UE, Regno Unito, Svizzera e Australia:

E se anche la polizia italiana utilizzasse Clearview? E se invece già facesse qualcosa del genere?

Ricerca, sorveglianza, privacy, pregiudizi algoritmici: interrogativi che si infrangono contro il muro di sostanziale riservatezza delle autorità – in Italia come all’estero – e che rende ancora più importante fare chiarezza sulle finalità e le modalità di utilizzo dei sistemi di riconoscimento facciale che si stanno affermando in maniera prepotente in tutti i sistemi di sicurezza governativi del mondo.

Il sistema di messaggistica per eccellenza, di proprietà di Facebook, con 2 miliardi di utenti, rinnova la sua politica sulla privacy.

WhatsApp, il sistema di messaggistica di proprietà di Facebook che afferma di “avere la privacy codificata nel suo DNA”, in queste ore sta dando ai suoi oltre 2 miliardi di utenti un ultimatum: accettare di condividere i propri dati personali con il social network Facebook oppure eliminare i propri account.

L’aggiornamento viene consegnato tramite un avviso “in-app” che invita gli utenti ad accettare modifiche radicali nei termini di servizio e privacy di WhatsApp. Chi non accetta, la rinnovata informativa sulla privacy entro l’8 febbraio, non potrà più utilizzare l’app.

Quali dati WhatsAPP condivide e con chi?

Poco dopo l’acquisizione da parte di Facebook  per 19 miliardi di dollari nel 2014, WhatsApp ha integrato la crittografia end-to-end nella sua app di messaggistica. L’aggiornamento fu visto come una vittoria per i sostenitori della privacy perché utilizzava il “Signal Protocol”, uno schema di crittografia open source il cui codice sorgente è stato esaminato e verificato da decine di esperti di sicurezza indipendenti.

Nel 2016, WhatsApp ha offerto agli utenti la possibilità, una tantum, di disattivare la trasmissione dei dati dell’account a Facebook. Ora, una politica sulla privacy aggiornata sta cambiando la situazione. Il mese prossimo, gli utenti non avranno più questa scelta. Alcuni dei dati raccolti da WhatsApp includono:

  • Numeri di telefono degli utenti
  • Numeri di telefono di altre persone memorizzati nelle rubriche
  • Nomi dei profili
  • Immagini del profilo
  • Messaggio di stato, inclusa l’ultima volta che un utente è stato online
  • Dati diagnostici raccolti dai log delle app
  • Geolocalizzazione e molto altro ancora
whatsapp privacy policy

La cosa interessante è che la Privacy Policy, come è giusto che sia, cambia da nazione a nazione e da macro area a macro area. In generale, sembrerebbe che secondo i nuovi termini, Whatsapp (Facebook) si riserva il diritto di condividere i dati raccolti con la sua grande famiglia di aziende.

La nuova politica sulla privacy afferma Potremmo condividere le tue informazioni all’interno del nostro gruppo di aziende per agevolare, sostenere e integrare le loro attività e migliorare i nostri servizi”.

In alcuni casi, come quando qualcuno utilizza WhatsApp per interagire con aziende di terze parti, Facebook potrebbe anche condividere informazioni con tali entità esterne.

Ma tranquilli perchè, testualmente, “Quando trattiamo i dati sulla base del consenso dell’utente, l’utente ha il diritto di ritirare il proprio consenso in qualsiasi momento senza intaccare la legittimità dei trattamenti svolti in base a tale consenso prima del ritiro dello stesso…… Per esercitare i propri diritti, l’utente può accedere alle impostazioni del dispositivo, alle impostazioni dell’app, come il controllo della posizione in-app, e alla sezione “Modalità di esercizio dei diritti dell’utente” della presente Informativa sulla privacy.

Scarsa trasparenza

Queste modifiche arrivano un mese dopo che Apple ha iniziato a richiedere ai produttori di app iOS, incluso WhatsApp , di dettagliare le informazioni che raccolgono dagli utenti. Solo un caso? WhatsApp, secondo l’App Store , si riserva il diritto di raccogliere:

  • Acquisti
  • Informazioni finanziarie
  • Posizione
  • Contatti
  • Contenuto dell’utente
  • Identificatori
  • Dati di utilizzo e
  • Diagnostica

Una portavoce di WhatsApp ha rifiutato di parlare delle modifiche alla privacy policy e precisamente di come o se, in qualche modo, è possibile per gli utenti rinunciarvi. L’unica cosa che ha comunicato a chi tentava di intervistarlo è che “la decisione di aggiornare le condizioni di gestione dei dati personali serve ad abilitare le aziende del gruppo ad archiviare e gestire le chat di WhatsApp utilizzando l’infrastruttura di Facebook” e che “in Europa non cambierà nulla dal punto di vista dei diritti e delle scelte che gli utenti potranno fare”

Una scelta che non è detto che ci sia veramente

Vuoto per pieno, l’informativa sulla privacy e i termini e condizioni di WhatsApp sono lunghi più di 8.000 parole e sono pieni di “legalese” che ne rende difficile la comprensione agli utenti “normali”. Anche per chi è avvezzo, andarsi e studiare tutto è davvero un’impresa.

In tutto questo, sappiamo che il precedente statement affermava: gli utenti che sono già utenti attuali possono scegliere di non condividere le informazioni del proprio account WhatsApp con Facebook per migliorare le proprie esperienze con le inserzioni e i prodotti di Facebook”. Non c’è più questo passaggio, sostituito dal nuovo “Oggi, Facebook non usa le informazioni del tuo account WhatsApp per migliorare le tue esperienze con i prodotti di Facebook o per fornirti esperienze pubblicitarie Facebook più pertinenti su Facebook. Scopri di più su come WhatsApp lavora con le aziende di Facebook”

All’orizzonte nulla di migliorativo dal punto di vista della riservatezza. I grandi colossi hanno sempre più fame di dati personali pertanto se non abbiamo voglia di cambiare sistema di messaggistica, non ci resta che attendere l’8 febbraio per conoscere nel dettaglio quali saranno le impostazioni modificabili e con quali reali effetti sulle pratiche di profilazione massiva che pratica FACEBOOK.

nordpass

Prospezione commerciale: sanzione pubblica nei confronti di PERFORMECLIC

Sentiamo spesso affermare, da alcuni (sprovveduti) “Titolari del Trattamento” che, siccome sono piccole realtà, l’attenzione alle norme che regolano l’utilizzo dei dati personali, è qualcosa che non li riguarda più di tanto.

Della serie “figuriamoci se le autorità vengono a pescare me” e altre affermazioni del genere.

Il 7 dicembre 2020, il Garante Francese (CNIL) ha sanzionato la società “PERFOMECLIC” per, tra le altre cose, la prospezione commerciale via e-mail senza evidenza del consenso al trattamento di dati personali e per non aver fornito informazioni soddisfacenti durante l’istruttoria.

PERFOMECLIC è una piccolissimo azienda che impiega due dipendenti ed è attiva nell’attività della c.d. prospezione commerciale, effettuata per lo più via email, per conto di terzi.

A far partire tutto è stata l’associazione SIGNAL SPAM, attiva nella raccolta delle segnalazioni di  utenti Internet circa e-mail non richieste, che ha informato la CNIL che questa piccola società denominata PERFOMECLIC appariva in cima alla classifica delle aziende che emettono il maggior numero di messaggi segnalati come “spam” dagli utenti di Internet in Francia.

La CNIL, che ha effettuato controlli, ha riscontrato carenze nella gestione dei dati delle persone intervistate.

I problemi emersi

L’organismo sanzionatorio della CNIL, ha ritenuto che PERFOMECLIC ha violato il Codice delle comunicazioni elettroniche (CPCE) e cinque aspetti riguardanti il GDPR:

  • violazione dell’obbligo di ottenere il consenso prima di inviare e-mail di prospezione, ai sensi dell’articolo L. 34-5 del CPCE, nella misura in cui la società non è in grado di dimostrare l’esistenza di un valido consenso delle persone contattate;
  • violazione del principio di minimizzazione dei dati (articolo 5.1.c della GDPR), nella misura in cui la società conserva i dati non necessari per inviare prospezioni commerciali, in questo caso il numero di telefono degli interessati;
  • violazione della conservazione dei dati (articolo 5.1.e della GDPR), la società che conserva i dati di lead per un periodo di tempo eccessivo, vale a dire più di tre anni dalla semplice apertura delle e-mail di prospezione, senza ulteriori azioni da parte delle persone interessate (ad esempio, senza fare clic su nessuno dei link nelle e-mail di prospezione);
  • violazione dell’obbligo di informare adeguatamente i singoli interessati (articolo 14 della GDPR) attraverso una informativa privacy;
  • violazione del diritto di opposizione delle persone (articolo 21 della GDPR), la società non consente a coloro che sono stati contattati di opporsi efficacemente all’uso dei loro dati;
  • violazione del quadro contrattuale dei rapporti con un subappaltatore (articolo 28 della GDPR), a causa dell’assenza di clausole obbligatorie nel contratto tra la società e suoi fornitori.

La sanzione inflitta

CNIL ha sanzionato PERFORMECLIC per 7.300 euro. In particolare, ha tenuto conto delle dimensioni e della situazione finanziaria della società al fine di emettere un’ammenda dissuasiva e proporzionata.

Oltre a questa multa, è imposto all’azienda di sanare le non conformità entro 2 mesi. In caso contrario, la società sarà soggetta al pagamento di una penale di 1.000 euro per ogni giorno di ritardo.

Nel rendere pubblica la sua decisione, la CNIL ha sottolineato l’importanza dell’obbligo di ottenere il consenso delle persone interessate prima di inviare e-mail di prospezione e di essere in grado di dimostrare la raccolta dei consensi ottenuti.

Voi come raccogliere e conservate i consensi al trattamento?
E che dire delle informative privacy, sono coerenti e adeguate?

Link alla Deliberazione CNIL: DELIBERAZIONE SAN-2020-016 del 7 dicembre 2020