Su Instagram verranno impostati come privati gli account degli utenti minori di 18 anni. Facebook ha annunciato diverse novità che permettono di bloccare le interazioni degli adulti con i minori e verificare l’età dei nuovi iscritti. Anche se l’iscrizione a Facebook e Instagram è vietata ai minori di 13 anni, molti giovani utenti creano un account senza problemi, indicando un’età falsa. L’azienda di Menlo Park ha ora annunciato alcune soluzioni che permettono di scoprire l’età reale ed eventualmente rimuovere l’account.
Account privati per minori di 18 anni
Partiamo da quest’ultima novità. Facebook ritiene che impostare come privati gli account Instagram appena creati sia la scelta migliore per evitare interazioni con adulti sconosciuti. Ciò permette di controllare chi vede o può rispondere (solo le persone che seguono l’utente). I più giovani con account pubblico vedranno un avviso che illustra i vantaggi dell’account privato e come è possibile cambiare l’impostazione.
Facebook ha inoltre sviluppato una tecnologia che identifica account con comportamenti sospetti, impedendo l’interazione con gli account dei giovani utenti. Al momento è disponibile in cinque paesi (Stati Uniti, Regno Unito, Francia, Australia e Giappone), ma presto l’estensione riguarderà tutto il mondo. Come noto, inoltre, in Italia è già attivo il limite ad età, sesso e location per quanto concernente la perimetrazione del target delle inserzioni pubblicitarie.
Intelligenza artificiale per verificare l’età
La cosiddetta “age verification” è invece una soluzione più difficile da implementare. Un’opzione potrebbe essere l’inserimento del documento di identità, ma non tutti vogliono farlo e non tutti gli utenti più giovani ne possiedono uno. L’alternativa migliore è sfruttare l’intelligenza artificiale.
Facebook ha sviluppato una tecnologia che consente di stimare l’età dell’utente, rilevando diversi “segnali”, come il contenuto dei messaggi condivisi sul social network (ad esempio quelli di buon compleanno) o Instagram. In alcuni casi si chiederà all’utente di fornire ulteriori informazioni. Con queste novità, Facebook dovrebbe anche rispondere alle richieste del Garante della Privacy
A partire da oggi, non appena scatterà l’obbligo di esibire il Green Pass per l’accesso ad attività e luoghi pubblici, l’applicazione VerificaC19 sarà impiegata per eseguire milioni e milioni di scansioni dei codici QR relativi al Certificato Verde. Sappiamo come funziona e in che modo effettua il controllo tutelando la privacy del cittadino. Ora sappiamo anche che l’app VerificaC19, usata per la verifica del Green Pass, è affetta da quello che può essere definito un grave bug.
Modificare la data del dispositivo per cambiare la validità di un certificato
A portare alla luce il problema Niccolò Segato, studente di ingegneria al Politecnico di Milano, nella sezione Issues del progetto su GitHub. Riportiamo di seguito in forma tradotta la segnalazione.
Nell’applicazione è sufficiente modificare la data del dispositivo per cambiare la validità di un certificato. Ad esempio, anticipando la data del dispositivo, un certificato già scaduto può essere verificato.
È dunque sufficiente modificare la data per ottenere un esito diverso dal processo di verifica.
Dalle impostazioni di sistema è sufficiente modificare la data del dispositivo per cambiare il risultato della verifica. È stato testato con un certificato emesso 11 giorni dopo la prima dose del vaccino, quindi non ancora valido per legge. E’ stato correttamente identificato come non ancora valido dall’applicazione su un dispositivo con la data impostata nel modo giusto. Posticipandola a 15 giorni dopo la prima dose, dunque dal giorno di inizio validità del certificato, effettuando una nuova scansione restituisce esito positivo.
La soluzione
Quale la possibile soluzione? A fornirla è lo stesso autore della segnalazione, suggerendo l’ottenimento della data e dell’ora necessarie a eseguire il controllo da un server centrale o comunque da una fonte diversa dal dispositivo stesso.
La data e l’ora dovrebbero essere ottenute da una fonte unica e certificata, come un server governativo, anziché dal dispositivo.
Essendo l’utilizzo di VerificaC19 garantito anche offline, dunque in assenza di una connessione Internet (per un massimo di 24 ore), difficilmente potrà essere questo il rimedio senza impattare sulle modalità di funzionamento dichiarate finora.
Dovrebbe essere sufficiente il buon senso per capirlo, ma a scanso di equivoci lo mettiamo comunque nero su bianco: l’esistenza del problema non autorizza a sfruttarlo per aggirare o alterare i controlli. Doveroso sottolinearlo, considerando la necessità di includere tra le FAQ sul sito istituzionale la risposta alla domanda È possibile falsificare o manomettere una Certificazione Verde COVID-19?
È una leggenda metropolitana smentita dalla stessa persona a cui è stata attribuita. Si legge infatti in giro che quando chiesero al rapinatore di banche americano Willie Sutton “Perché rapina proprio le banche?” La risposta fu “Perché è lì che stanno i soldi.” Anni dopo lo stesso Sutton, nella sua biografia, precisò di non avere mai detto quella frase. Salvo precisare che quella sarebbe stata la risposta se mai glielo avessero chiesto. Logico: le rapine si fanno dove si trovano i soldi. Oggi potremmo invece dire che rapinano banche dati perché contengono valori, i nostri dati.
Chiediamoci allora come mai oggi il maggior numero di furti e rapine avviene dove vengono conservati i dati personali.
Italia al 6° posto
Dai dati che si trovano online l’Italia sembra sia al sesto posto nella classifica delle nazioni in cui avviene il maggior numero di furti di dati personali e nessuno è immune da attacchi hacker sotto ogni possibile forma: dal phishing ai ransomware fino dalle truffe informatiche ogni metodo è buono per ottenere indirizzi mail, informazioni personali, password, iban e codici dei sistemi di pagamento. Sono sotto attacco privati e imprese. Ai primi si sottraggono i dati per accedere a conti correnti. Invece alle seconde gli interi database aziendali per chiedere riscatti che, anche se pagati, non garantiscono la certezza circa la loro restituzione o comunque siano messi a disposizione di chiunque nel darkweb.
Aumenta la navigazione in rete, aumentano le attività che possono essere fatte online e, di conseguenza, aumenta il numero di dati che possono essere sottratti e le possibilità di farlo. La pandemia ha offerto ai pirati del web anche la possibilità di sfruttare lo smartworking e la didattica a distanza, due situazioni in cui il navigatore si presta oltretutto maggiormente esposto in caso di attacco. Non possiamo infatti essere certi che il computer utilizzato a casa e la rete internet siano protetti come quelle aziendali. O, perlomeno, come queste dovrebbero esserlo.
Utenti distratti
La distrazione dell’utente è sempre uno dei fattori che maggiormente contribuiscono al furto di dati. Un click avventato o su una finestra che si apre improvvisamente, senza dare modo di controllare a che cosa si accede. Un consenso al trattamento dati senza rendersi conto che in questa maniera si corre il rischio di vedere legalmente venduti i nostri dati ad agenzie di marketing o altro. Sono solo alcune delle modalità con cui il navigatore permette a sconosciuti di accedere al patrimonio personale. Quest’ultimo rappresentato da quei dati che costituiscono l’identità digitale di una persona.
Sembra che, ancora, non sia presente nei singoli la consapevolezza dell’importanza del dato mentre le aziende, dall’altro lato, non hanno ancora realizzato quanto sia importante, non solo per il rischio di sanzioni economiche, proteggere la cassaforte che contiene tutti i dati di clienti, fornitori, dipendenti e contatti magari ottenuti tramite i social. Gli utenti della rete, da parte loro, si mostrano fin troppo attenti quando la loro privacy viene violata da una telefonata da un call center o da una mail pubblicitaria non gradita. Ma dimenticano che ciò, spesso, accade a causa della loro distrazione o leggerezza nella navigazione.
I dati: un bene prezioso
I dati personali, non ci stancheremo di ripeterlo, sono un bene economico di grande valore, è la benzina di internet: senza i dati i sistemi operativi resterebbero fermi e l’economia del web ha bisogno non solo di dati per muoversi, ma anche di poterli comparare, profilare, interconnettere e poter portare all’utenza ogni possibile offerta personalizzata. Da qui il bisogno di dati che, in molti cercano di ottenere e processare legalmente. Tuttavia ricordiamo sempre che i malintenzionati non mancano mai. E inoltre hanno a disposizione un grande mare. Un oceano in cui poter pescare più o meno lecitamente il bene più prezioso che esiste sul mercato oggi: i nostri dati personali.
Le banche moderne si distinguono dagli istituti finanziari del passato per il legame indissolubile con l’informatica. Il progresso digitale, infatti, ha favorito la diffusione di tecnologie grazie alle quali l’utente ha la possibilità di avvantaggiarsi dei servizi offerti da un istituto bancario sfruttando le potenzialità delle connessioni di rete. Ma il perfezionamento dell’informatica ha comportato anche la necessità di migliorare la protezione dei dati dei privati, spingendo per la creazione di nuove strategie finalizzate a garantire la sicurezza digitale dei profili degli utenti. Al giorno d’oggi, infatti, le stesse banche che mettono a disposizione dei clienti servizi multicanale online forniscono un adeguato livello di protezione, anche per rispondere alle normative entrate in vigore in seguito all’introduzione del GDPR (Regolamento generale sulla protezione dei dati, adottato a partire dal 2016). Entriamo nel dettaglio e passiamo in rassegna alcuni suggerimenti fondamentali per aprire un conto e gestirlo in totale sicurezza.
Tuttavia, è necessario specificare che i sistemi di sicurezza informatica variano a seconda degli istituti bancari. La questione della protezione dei dati ha a che fare direttamente con la politica aziendale della banca, la quale è libera di scegliere il sistema informatico che ritiene più adatto a proteggere le informazioni dei propri clienti.
L’importanza della fama dell’istituto
Innanzitutto, il primo suggerimento da tenere in considerazione per proteggere efficacemente i dati di un profilo bancario online riguarda la scelta di un buon istituto finanziario. Affidare le informazioni economiche personali ad enti dalla fama tutt’altro che consolidata significa mettere a repentaglio la sicurezza di conti, carte di credito, prepagate etc… Questo obbliga a ponderare con grande cura la scelta dell’istituto nel quale depositare le proprie credenziali.
Per i motivi sopra citati, è di importanza assoluta mettere i propri dati nelle mani di una banca online nota e affermata, un istituto che disponga di servizi di sicurezza adeguati e di alto livello. Scegliere l’istituto più adatto alle proprie esigenze non è poi così complicato: nel panorama odierno esistono realtà bancarie solide e affidabili, ognuna delle quali in grado di mettere a disposizione del cliente piani finanziari specifici e personalizzati, così da soddisfare pienamente i bisogni di qualsiasi tipologia di utente.
Il modo più completo per conoscere offerte vantaggiose delle banche esistenti è quello di rivolgersi direttamente ad una delle filiali prescelte. Purché, come già riferito, si prendano in considerazione esclusivamente gli istituti noti e maggiormente affidabili.
I sistemi di sicurezza delle banche online
Un altro fattore da valutare con cura prima di aprire un conto bancario online è la presenza di sistemi di sicurezza informatici all’avanguardia. In primo luogo, la tecnologia di sicurezza più sfruttata dagli istituti finanziari è l’utilizzo di codici alfanumerici associati ad una determinata carta. Solitamente la carta in questione viene rilasciata dalla banca al momento dell’apertura di un conto. I codici della tessera, di fatto, risulteranno associati al conto stesso. Tali codici andranno utilizzati ogni qual volta si debbano effettuare delle transazioni economiche online.
Per via dell’alto livello di sicurezza e della relativa semplicità nell’impiego, la carta riportante le password in forma di codici alfanumerici è una delle tecnologie più apprezzate dagli utenti bancari. Altrettanto gradito è l’utilizzo di password usa e getta comunicate direttamente al cliente bancario per via telefonica. Anche in questo caso il codice verrà fatto pervenire al numero di telefono associato al conto personale. Tutto ciò avviene nel momento in cui si procederà con una transazione economica.
Il funzionamento della carta è semplicissimo. Qualora vi sia la necessità di acquistare, vendere, investire o scambiare denaro online, il servizio multicanale della banca richiederà l’inserimento di uno dei codici riportati sulla superficie della carta stessa. Oppure in uno dei documenti contenuti nel contratto stipulato con l’istituto finanziario.
Utilizzare browser conosciuti
Per quanto banche diverse possano adottare strategie di sicurezza informatica differenti, il funzionamento delle tecnologie alla base della protezione dei dati è sempre lo stesso. Indipendentemente dalla politica aziendale prescelta, qualsiasi banca online dispone infatti di un sistema di criptaggio fondato sulla garanzia del protocollo “HTTPS”. Vale a dire la modalità criptata (ed evoluta) del classico protocollo HTTP.
Entrambi i protocolli consentono al browser utilizzato dall’utente di ottenere le informazioni necessarie per la navigazione. La differenza tra i due protocolli è data dal fatto che l’HTTPS dispone di un sistema di connettività criptata tramite crittografia asimmetrica. Di conseguenza conferisce un’eccezionale sicurezza all’utente durante la navigazione online. Al di là dei protocolli, anche l’utilizzo di un browser comodo e pratico è un fattore rilevante ai fini della sicurezza online.
Sfruttare browser privi di sistemi protezione dei dati significa aumentare la probabilità di andare incontro a problemi relativi al furto dei dati e delle credenziali bancarie. Imprevisti di questo tipo avvengono a causa della scarsa protezione che il browser è in grado di fornire agli utenti. I malintenzionati sfruttano le falle del software in uso per raccogliere tutte le informazioni più delicate immesse nel web. Ecco per quale motivo diviene fondamentale adoperare un browser conosciuto e costantemente aggiornato.
Utilizzare antivirus e suite per la sicurezza informatica
Tra i metodi più indicati per poter usufruire in tutta sicurezza dei servizi di una banca online vi è l’utilizzo degli antivirus o di una suite per la sicurezza informatica.
Trattandosi di software prodotti da terze parti, e che di fatto non hanno nulla a che vedere (se non indirettamente) con le banche, perpoter usufruire di tali strumenti è necessario procedere con l’acquisto o il download della suite che più si adatta alle proprie esigenze. Antivirus e suite per la sicurezza informatica, indipendentemente dal marchio o dall’azienda produttrice, saranno in grado di evitare spiacevoli inconvenienti agli utenti. Gli antivirus sono progettati appositamente per bloccare eventuali malware e minacce di rete, consentendo di procedere con una navigazione fluida e più che mai sicura.
Scegliere password sicure
Infine, uno dei metodi per garantire maggior sicurezza ai propri dati personali è quello di scegliere password sicure e difficilmente individuabili dai malintenzionati. Il discorso, ovviamente, vale anche e soprattutto per i dati bancari.
Per quanto riguarda le informazioni sui dati di banca, la sicurezza delle password alfanumeriche dovrà risultare ancor più elevata. Solitamente è la banca stessa a ricordare agli utenti di adoperare parole chiave specifiche. In linea generale, andranno assolutamente evitate password troppo brevi o contenenti riferimenti ai dati anagrafici del proprietario del conto. Per accedere ai servizi online di una banca multicanale, l’ideale sarebbe creare password caratterizzate da numeri, lettere e caratteri speciali, aumentando di conseguenza la complessità della chiave di accesso. Inoltre, maggiore sarà la lunghezza della password e più alto sarà il livello di sicurezza della stessa. Diminuendo di conseguenza le probabilità di furti e accessi non autorizzati.
Molti utenti pubblicano sui social network le foto dell’avvenuta vaccinazione. Da qualche ora è iniziata anche la condivisione del codice QR associato al Certificato Verde (Green Pass), senza porre attenzione sul rischio di tale scelta.
Codice QR sui social: rischio elevato
Molte persone hanno l’irrefrenabile desiderio di condividere online la loro vita privata, ignorando le conseguenze. L’avv. Guido Scorsa ha notato che diversi utenti hanno già esibito “trionfalmente” sui social il codice QR del Certificato Verde. Oltre al nome e alla data di nascita (informazioni già disponibili online), ci sono altri dati sensibili, come tipo di vaccino, numero dosi e data di vaccinazione, ma soprattutto viene svelato se e quando è stato fatto un tampone o se e quando l’utente ha avuto il virus.
#GreenPass Il QR code del pass vaccinale contiene informazioni personali e sanitarie, non visibili ma potenzialmente leggibili e utilizzabili da chiunque, anche attraverso specifiche app: è rischioso esporlo sui social network #ituoidati#GarantePrivacypic.twitter.com/KpCx57IPNF
Guido Scorza, componente del Garante per la protezione dei dati personali, ha spiegato senza mezzi i termini che si tratta di una pessima idea. “Quel QR-code è una miniera di dati personali invisibili a occhio nudo ma leggibili da chiunque avesse voglia di farsi i fatti nostri. Chi siamo, se e quando ci siamo vaccinati, quante dosi abbiamo fatto, il tipo di vaccino, se abbiamo avuto il Covid e quando, se abbiamo fatto un tampone, quando e il suo esito e tanto di più”.
Insomma, si rischia di lasciare “in giro per il web una scia di propri dati personali per di più sanitari che chiunque potrebbe utilizzare per finalità malevole”. Non solo: “Questa prassi – ha detto Scorza – potrebbe facilitare la circolazione di QR-Code falsi che frustrerebbero l’obiettivo circolazione sicura perseguito con i green pass”.
Falsi “Green Pass” a 150 dollari
Il codice QR viene letto attraverso l’app VerificaC19 dagli operatori autorizzati, come forze dell’ordine e i titolari di hotel, ristoranti o altre strutture in cui è possibile accedere solo esibendo il green pass. Ma l’app verifica solo se il certificato verde è valido. Tutte le altre informazioni non vengono lette né conservate.
Scorza avverte che i dati sanitari potrebbero essere utilizzati per varie forme di discriminazione oppure per truffe mirate e attività di profilazione commerciale. Inoltre la pubblicazione del codice QR potrebbe facilitare la circolazione di green pass falsi. Se proprio non si resiste alla tentazione è meglio comunicare a tutti la notizia, senza condividere immagini.
Nei canali riservati di Telegram e sul mercato nero della Rete si moltiplicano le offerte di documenti fasulli per aggirare le normative anti Covid. E i pirati si vantano: “Abbiamo bucato l’anagrafe europea”. Con 150 dollari pagabili in criptovaluta, e dai 3 ai 5 giorni di attesa, ti forniscono un Green Pass con lo stemma dell’Unione Europea, il nominativo e pure il Qr Code. Che poi funzioni davvero al momento del vaglio con l’app di verifica è tutto da vedere.
Qr code
Le truffe sul “Green pass”
Sul ‘Green pass’ è intervenuta anche l’associazione dei consumatori Consumerismo No Profit, che ha denunciato come in questi giorni numerosi cittadini abbiano ricevuto messaggi WhatsApp ed email che invitano a scaricare il documento attraverso un apposito link.
“Si tratta tuttavia di una truffa che rientra nel cosiddetto Phishing” spiegano da Consumerismo. Chi accede al link potrebbe ritrovarsi abbonato a servizi non richiesti che prosciugano il credito telefonico, o cedere a cyber-criminali informazioni personali, come numero di carta di credito, dati bancari. Insomma è meglio fare attenzione e ricordarsi che il ‘Green pass’ può essere scaricato solo attraverso questi canali:
Se da un personaggio pubblico che poteva anche diventare presidente del Consiglio dei ministri, membro del FMI e editorialista di testate prestigiose quali La Stampa e Repubblica ascoltiamo le parole “la legge privacy va cambiata”, ci rendiamo conto di come vi sia ancora molta strada da fare. L’economista Carlo Cottarelli, già incaricato dal presidente Mattarella di formare il Governo prima dei Giuseppe Conte, ha usato queste parole in un recente Tweet. L’argomento era un provvedimento del garante che avvertiva di come la app IO non fosse adeguata e come presentasse problemi per erogare il Green Pass.
Problemi che dovranno essere risolti e poi via libera. Errori analoghi li ha commessi anche Carlo Calenda, aspirante sindaco di Roma, che ha definito il Garante un “intoppo burocratico” quando questi si sarebbe permesso di ricordare che è lo Statuto dei Lavoratori, e non certo il GDPR, che prevede il divieto da parte del datore di lavoro di indagini sullo stato di salute dei dipendenti e di come, di conseguenza, la vaccinazione sui luoghi di lavoro permetta al datore di disporre dati che lo Statuto gli vieterebbe di avere.
GDPR: un’ opportunità per le aziende
In ogni caso Cottarelli e Calenda, specialmente il primo, hanno dimostrato una scarsa conoscenza della normativa e dimenticato che non è nelle mani del legislatore italiano poter cambiare il GDPR che, dobbiamo ribadirlo, non deve essere inteso come un ostacolo burocratico, bensì come un’opportunità per le aziende di organizzarsi in maniera etica e positiva minimizzando i dati e garantendone la protezione agli utenti.
Inoltre, quello di avere i propri dati personali protetti e non utilizzati a scopi illeciti e non dichiarati, è un ben preciso diritto dei cittadini per i quali, ricordiamolo, c’è una norma volta a proteggere la sfera privata non solo da massicci e invasivi invii di spam pubblicitario, ma anche di non essere profilati da aziende di qualsiasi tipo o organizzazioni magari politiche.
Interventi globali sul sistema di protezione dati
Purtroppo, la confusione che si fa e che si genera anche dal continuo utilizzo in maniera inopportuna del termine privacy, porta ancora a mescolare questo concetto con quello di protezione dati. Manca ancora l’educazione alla protezione del dato. Dato che purtroppo, è spesso rilasciato dall’utente in rete senza consapevolezza e con molta confusione sui limiti normativi e senza leggere le informative.
Queste ultime spesso troppo complesse e magari ancora non a norma. Una diversa consapevolezza sembra peraltro sia emersa nel corso dell’ultimo G7. Questo, in un’ottica anticinese, ha parlato di una governance dei dati che potrebbe portare ulteriori interventi globali sul sistema di protezione dati. E, inoltre, disciplinare un internet ancora troppo far west e con normative non chiare, come abbiamo visto, anche a chi dovrebbe applicarle.
Non è solo una questione di terminologia corretta (anche se sarebbe lecito aspettarsela). Bensì di conoscenza e consapevolezza di un argomento sensibile che tocca tutti e, in particolare, i minori e i più piccoli.
Una delle sfide principali che affronterà ogni comparto che attraversa la propria inevitabile fase di transizione digitale, è quella della privacy, e in tal senso il Presidente del Garante per la protezione dei dati personali, Pasquale Stanzione, e il Presidente della Fondazione Leonardo-Civilta’ delle Macchine, Luciano Violante, hanno sottoscritto un protocollo d’intenti della durata di due anni per l’avvio di una reciproca collaborazione istituzionale. Si lavorerà congiuntamente per definire la direzione che il tema della tutela della protezione dei dati personali dovrà intraprendere negli anni a venire.
Protezione dei dati e digitalizzazione
L’Autorità e la Fondazione, infatti, sono chiamate ad affrontare, pur sotto profili diversi, le sfide connesse all’accelerazione dei processi di digitalizzazione. Inoltre, la collaborazione volge a stimolare il dibattito sugli effetti e i potenziali benefici che queste importanti innovazioni comportano per la società civile. La finalità è quella di «accrescere, attraverso studi, ricerche e progetti, la consapevolezza e la rilevanza del ruolo dell’innovazione e delle tecnologie per la società civile, stimolando il dibattito sull’impatto e sui potenziali benefici che queste comportano, in un’ottica proiettata al futuro», attività meritevoli di interesse per il Garante.
Spiega il Protocollo all’articolo 1 che definisce oggetto e finalità della cooperazione:
Con il presente atto, le Parti intendono avviare, nell’ambito delle rispettive competenze, una collaborazione al fine di favorire le reciproche sinergie volte alla realizzazione di attività di interesse comune in relazione alle implicazioni giuridiche delle nuove tecnologie, con particolare riguardo al loro impatto sulla protezione dei dati personali, restando inteso che eventuali effetti vincolanti per le Parti sorgeranno solo con la sottoscrizione di eventuali specifici accordi che potranno essere oggetto di successiva negoziazione.
E aggiunge all’articolo 3:
Tra le attività e i progetti di comune interesse per le Parti, da avviare prioritariamente, è compresa, in particolare, la collaborazione del Garante nell’ambito della costituzione di un “Laboratorio sulla transizione digitale” funzionale allo svolgimento delle attività di cui in premessa, da realizzarsi secondo modalità che saranno definite dalle Parti con successivo accordo.
Accordo di 2 anni
Il protocollo sottoscritto ha la durata di due anni, e sia il Garante della privacy che la Fondazione Leonardo, si impegnano anche a organizzare incontri periodici su materie di interesse comune. In più lo sforzo verrà volto a promuovere campagne di informazione e attività formative. Affrontare temi come studio e divulgazione, per far sì che il tema centrale della privacy in epoca di rapida transizione digitale non resti questione accademica. Si auspica inoltre che possa invece diventare pubblica discussione in pubblico dibattito. Le modalità di svolgimento delle attività saranno definite di volta in volta con specifici accordi tra le parti.
Raccolta dati è un termine generico ed insufficiente per descrivere una vera e propria catena adibita a disciplinare l’intera attività di gestione dati che servono ad un’azienda. Precisiamo subito, non è a causa del GDPR se quella del trattamento dati si è trasformata in una vera e propria filiera, indispensabile per una corretta gestione aziendale.
Sono a dir poco remoti, arcaici addirittura, i tempi in cui era sufficiente registrare fornitori e clienti in archivi cartacei e aggiornarli solo quando indispensabile. Oggi i dati non sono soltanto quelli tradizionali. Ricordiamo, che in ogni caso, questi sono aumentati per ciascuno dei soggetti dovendo includersi PEC, mail private e aziendali, siti internet e quant’altro necessario. Oggi un database aziendale è formato anche da dati statistici e valutazioni. Dati che vanno dalla customer satisfaction (soddisfazione del cliente) alle criticità del post-vendita e non solo. Ovviamente non sono certo questi dati personali da trattare ai sensi del GDPR. Tuttavia si tratta comunque di elementi del patrimonio aziendale che devono trovare una loro tutela e protezione. In tal senso, gli strumenti messi a disposizione da una corretta applicazione del GDPR possono rivelarsi utili.
Raccolta dei dati
Fin dal momento della raccolta è possibile individuare i soggetti deputati ad ogni forma di trattamento sia all’interno di un’azienda che da parte di fornitori esterni di servizi. Ad esempio, il consulente del lavoro per i necessari adempimenti e il commercialista per la contabilità; ciò anche al fine di predisporre informative sufficientemente esaustive e non correre il rischio di omissioni derivanti da frettolosi copia-incolla.
Venendo comunque alla protezione del dato così come imposto dal regolamento Europeo 679/2016, che ancora in troppi ignorano, l’organizzazione della catena inizia dal momento in cui si debbano scegliere i dati da trattare. Il principio della minimizzazione, infatti, è un parametro che, se da un lato impone dall’altro consente ad un’azienda di evitare un appesantimento dei propri archivi e, conseguentemente, anche abbassare i rischi in casi di perdita dati.
Formazione del personale
Formazione del personale e lettere di incarico diventano ulteriori strumenti essenziali. Non solo come elemento dell’organizzazione aziendale, ma come mezzi per evitare appesantimenti di dati nei flussi e dispersione delle informazioni. Questi, con un’attenta pianificazione, possono rimanere nella disponibilità solo di chi ha necessità di conoscerle per determinati scopi. Ne guadagnerebbe anche la sicurezza aziendale nel suo complesso.
Rischio di data breach
Indispensabile per aziende che hanno più reparti o divisioni valutare a quali consentire l’accesso alle varie tipologie di dati. A molti sfugge che, ad esempio, è inutile per un settore produzione avere a disposizione gli indirizzi dei clienti che servono a chi è incaricato alle spedizioni. Allo stesso modo, nel caso di studi medici e laboratori di analisi è a dir poco inopportuno che la contabilità venga a conoscenza delle patologie dei pazienti o possa accedere ai referti medici. Una corretta gestione di archivi e computer sul punto porterebbe anche ad una limitazione dei rischi in caso di data breach. Questo in effetti limiterebbe danni e diffusioni di dati.
Un’attenta valutazione dei rischi e una conseguente corretta pianificazione e gestione della Privacy può quindi rivelarsi non il costo temuto che, purtroppo, porta molte aziende a non applicare correttamente il GDPR, bensì un miglioramento della complessiva funzionalità dell’azienda e uno snellimento delle procedure.
Vediamo insieme cosa dice la legge riguardante la protezione dei dati pubblici sulle fan page social.
Purtroppo, spesso accade che nel corso di una delle troppe telefonate che riceviamo, nonostante le sanzioni già emesse dal Garante, alla domanda “Come avete ottenuto il mio numero di telefono?” tra le farfuglianti giustificazioni dell’operatore possiamo trovare quella fornita principalmente a imprenditori e professionisti troviamo “E’ un dato pubblico possiamo usarlo.”E’ sicuramente vero che i recapiti telefonici e gli indirizzi mail di aziende, commercialisti, avvocati e altri professionisti sono pubblici perché trovati in albi o pagine web.
Tuttavia è altrettanto vero che mettere a disposizione il proprio telefono o una email di contatto non autorizza in alcun modo ad usarli per comunicati o promozioni commerciali. La stessa problematica riguardante la protezione dei dati pubblici si presenta anche nel contesto delle cosiddette fan page social.
Attraverso le fan page, le aziende possono reperire informazioni riguardanti gli utenti
GDPR e fan page
Con maggiore delicatezza abbiamo lo stesso problema per quanto riguarda le pagine social e, in particolar modo, per le popolarissime fan page.
Questi specialmente su Facebook sono tra gli strumenti più utilizzati da aziende e professionisti. Infatti, tramite loro possono così farsi conoscere e aumentare il proprio bacino di utenza. Non dimentichiamo, infatti, che anche un semplice like su una pagina o un post è elemento che permette di conoscere chi lo ha messo e, magari unendolo ad altri elementi facilmente reperibili in rete, profilarlo per individuare le sue preferenze.
Un’attività tra quelle a cui, maggiormente, il GDPRcerca di mettere un freno per tutelare gli utenti dalle invasione della propria privacy.
Facebook inoltre mette a disposizione del gestore della fan page la possibilità, tramite cookie e insight, di reperire numerosi dati personali per capire da chi è composto il pubblico della pagina, provenienza, età e a quale sesso appartiene, oltre ovviamente alle sue preferenze.
È proprio questo lo strumento che serve per poter creare campagne pubblicitarie mirate. Allo stesso modo vengono utilizzati i risultati dei test e sondaggi di opinione che molte aziende lanciano sempre sui social. Mettere in rete quello che sembra un sondaggio lanciato da un qualsiasi utente è un modo ideale ed economico, oltreché subdolo, di venire a conoscenza di gusti e preferenze dei propri potenziali clienti.
Art. 6 del Regolamento
Il trattamento di questi dati è chiaramente limitato dall’articolo 6 del Regolamento. Essi infatti sono utilizzabili laddove funzionali ad adempiere obblighi legali gravanti sul titolare ovvero, se non funzionali, quando questi siano necessari per l’esecuzione di un contratto (esecuzione, dice la norma, non proposta o offerta).
Ricordiamo oltretutto che è sempre necessaria una forma di una forma di consenso espressa. La forma del silenzio assenso non è quindi prevista dal GDPR. Queste osservazioni devono essere anche alla base di ogni forma di trattamento dei dati. Questi vengono messi a disposizione sui social network e, in particolare, proprio sulle fan page, alle quali accedere e commentare rivela gusti e preferenze dell’utente se non addirittura un pensiero politico o l’orientamento sessuale di una persona.
Così il gestore della fan page diventa anche il Titolare del trattamento di dati che un utente crede di aver concesso solo a Facebook. Il gestore così imposta i parametri del trattamento ad obiettivi di gestione aziendale determinandone le finalità; lo stesso gestore può chiedere di ricevere da Facebook, in forma anonima, i dati raccolti dai cookie per finalità di webtracking.
La sentenza della corte Europea
Sul punto si è pronunciata la Corte Europea. Quest’ultima in una sua sentenza, ha di fatto nominato l’amministratore di una pagina fan di Facebook responsabile del trattamento dei dati. Facebook a sua volta, insieme all’amministratore, sarà responsabile di tale trattamento che quest’ultima raccoglie e mette a sua disposizione. Il Gestore della pagina dovrà quindi procurarsi una valida base di trattamento per poterli utilizzare e creare le campagne mirate di advertising.
Scatta oggi l’entrata in vigore dei nuovi (e controversi) termini di utilizzo di WhatsApp, annunciati per la prima volta a gennaio. Oggi, 15 maggio, scatta la giornata in cui WhatsApp impone a tutti la scelta: o si accettano le nuove policy del servizio, o non le si accetta.
Se dapprima la minaccia era quella dell’esclusione dall’uso dell’app (imponendo di fatto l’accettazione delle policy), in seguito il gruppo ha rettificato la propria azione ed ora ha trovato una nuova via.
Chi non accetterà le regole di WhatsApp sarà impossibilitato ad accedere alle sue funzioni. Per oltre due miliardi di utenti in tutto il mondo è scattato l’ultimatum.
Nessuno sarà escluso dall’app. Anche chi non accetta i nuovi termini d’uso, quindi, potrà continuare ad utilizzare WhatsApp senza che venga accompagnato forzatamente alla porta. Tuttavia la sua esperienza sarà profondamente differente e tale da imporre di fatto l’accettazione dei termini.
Inizialmente l’aggiornamento era stato programmato per l’8 febbraio. Tuttavia le proteste degli iscritti, di cui hanno giovato le rivali Telegram e Signal, e le reazioni di diverse autorità nazionali e sovranazionali – tra cui il Garante italiano per la privacy – hanno spinto Menlo Park a rinviare la scadenza di oltre tre mesi per illustrare con maggiore chiarezza le novità in arrivo.
In Europa
In Europa l’aggiornamento non comporterà (quasi) nessuna modifica della privacy, I garanti non sembrano dello stesso parere. Come ad esempio Johannes Caspar, commissario di Amburgo per la protezione dei dati e la libertà di informazione, che giusto martedì ha intentato un procedimento contro la divisione europea di Facebook chiedendole di non raccogliere né elaborare alcun dato dagli utenti tedeschi di WhatsApp. In più ha invocato l’intervento dell’European Data Protection Board (Edpb) affinché approfondisca la questione e prenda una decisione vincolante in tutta Europa (qui il comunicato). Tra i problemi riscontrati, informazioni «non chiare», dal «contenuto fuorviante» e «notevoli contraddizioni».
Si legge ancora: «Anche dopo un’analisi approfondita non si comprende quali conseguenze possa avere il consenso per gli utenti». Di fatto, nulla di diverso rispetto a quanto osservato tre mesi fa dal già citato Garante italiano, che aveva definito impossibile per gli utenti sia «evincere quali siano le modifiche introdotte» che «comprendere chiaramente quali trattamenti di dati saranno in concreto effettuati dal servizio di messaggistica». WhatsApp però tira dritto e va al muro contro muro. Un portavoce della piattaforma ha fatto sapere agli organi di stampa che, «poiché le affermazioni del commissario di Amburgo sono errate, il suo ordine non avrà alcun impatto sul lancio dell’aggiornamento». Né in Germania né tanto meno negli altri Paesi.
In USA
Negli Stati Uniti e in altre zone del mondo, invece, diventa obbligatorio accettare che Facebook possa impiegare dati come il numero di cellulare o la rubrica di WhatsApp per mostrare pubblicità personalizzate. Delineati i possibili scenari, la domanda di fondo è: davvero, come sostiene WhatsApp, le uniche modifiche saranno legate agli account Business? «Non ho né strumenti né motivi per credere che ciò non sia vero – dichiara l’avvocato Ivan Rotunno, special counsel dello Studio Orrick ed esperto in materia di privacy e questioni regolatorie del web –.
In assenza di accettazione, le limitazioni previste sono le seguenti:
Non potrai accedere all’elenco delle chat, tuttavia potrai rispondere alle chiamate e alle videochiamate in arrivo. Se hai abilitato le notifiche, potrai toccarle per leggere o rispondere ai messaggi, o richiamare in caso di chiamata o videochiamata persa. Dopo alcune settimane con funzionalità limitate, non potrai ricevere chiamate in arrivo o notifiche e WhatsApp interromperà l’invio di messaggi e chiamate al tuo telefono.
Questo sito consente l'invio di Cookie di terze parti al fine di migliorare la navigazione offrendo servizi correlati. Premendo il tasto "Accetta" Cookie accetti l'utilizzo dei cookie. Per ulteriori informazioni su come questo portale utilizza i Cookie puoi selezionare il tasto Leggi di più. Puoi modificare il consenso premendo il tasto Impostazioni.
Questo sito Web utilizza i cookie per migliorare la tua esperienza durante la navigazione nel sito Web. Di questi, i cookie classificati come necessari vengono memorizzati nel browser in quanto sono essenziali per il funzionamento delle funzionalità di base del sito Web. Utilizziamo anche cookie di terze parti che ci aiutano ad analizzare e capire come utilizzi questo sito web. Questi cookie verranno memorizzati nel tuo browser solo con il tuo consenso. Hai anche la possibilità di disattivare questi cookie. Ma la disattivazione di alcuni di questi cookie potrebbe influire sulla tua esperienza di navigazione.
I cookie necessari sono assolutamente essenziali per il corretto funzionamento del sito web. Questa categoria include solo i cookie che garantiscono funzionalità di base e caratteristiche di sicurezza del sito web. Questi cookie non memorizzano alcuna informazione personale.
Cookie
Durata
Descrizione
__hssrc
sessione
This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
_GRECAPTCHA
6 mesi
This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement
1 anno
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics
11 mesi
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 mesi
The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 mesi
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary
11 mesi
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others
11 mesi
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance
11 mesi
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
Qualsiasi cookie che potrebbe non essere particolarmente necessario per il funzionamento del sito Web e viene utilizzato specificamente per raccogliere dati personali dell'utente tramite analisi, pubblicità, altri contenuti incorporati sono definiti come cookie non necessari. È obbligatorio ottenere il consenso dell'utente prima di eseguire questi cookie sul tuo sito web.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Cookie
Durata
Descrizione
__cf_bm
30 minuti
This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc
sessione
HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Cookie
Durata
Descrizione
__hstc
sessione
This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga
2 anni
The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_78N9WP2E3X
2 anni
This cookie is installed by Google Analytics
CONSENT
2 anni
YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk
sessione
HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Cookie
Durata
Descrizione
VISITOR_INFO1_LIVE
6 mesi
A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC
sessione
YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt.innertube::requests
Mai
This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
