Tag: gdpr

gestione dei dati personali
Consulenza, Formazione, GDPR

La catena della gestione dati

Raccolta dati è un termine generico ed insufficiente per descrivere  una vera e propria catena adibita a disciplinare l’intera attività di gestione dati che servono ad un’azienda. Precisiamo subito, non è a causa del GDPR se quella del trattamento dati si è trasformata in una vera e propria filiera, indispensabile per una corretta gestione aziendale.

Sono a dir poco remoti, arcaici addirittura, i tempi in cui era sufficiente registrare fornitori e clienti in archivi cartacei e aggiornarli solo quando indispensabile. Oggi i dati non sono soltanto quelli tradizionali. Ricordiamo, che in ogni caso, questi sono aumentati per ciascuno dei soggetti dovendo includersi PEC, mail private e aziendali, siti internet e quant’altro necessario. Oggi un database aziendale è formato anche da dati statistici e valutazioni. Dati che vanno dalla customer satisfaction (soddisfazione del cliente) alle criticità del post-vendita e non solo. Ovviamente non sono certo questi dati personali da trattare ai sensi del GDPR. Tuttavia si tratta comunque di elementi del patrimonio aziendale che devono trovare una loro tutela e protezione. In tal senso, gli strumenti messi a disposizione da una corretta applicazione del GDPR possono rivelarsi utili.

Raccolta dei dati

Fin dal momento della raccolta è possibile individuare i soggetti deputati ad ogni forma di trattamento sia all’interno di un’azienda che da parte di fornitori esterni di servizi. Ad esempio, il consulente del lavoro per i necessari adempimenti e il commercialista per la contabilità; ciò anche al fine di predisporre informative sufficientemente esaustive e non correre il rischio di omissioni derivanti da frettolosi copia-incolla.

gestione dati

Venendo comunque alla protezione del dato così come imposto dal regolamento Europeo 679/2016, che ancora in troppi ignorano, l’organizzazione della catena inizia dal momento in cui si debbano scegliere i dati da trattare. Il principio della minimizzazione, infatti, è un parametro che, se da un lato impone dall’altro consente ad un’azienda di evitare un appesantimento dei propri archivi e, conseguentemente, anche abbassare i rischi in casi di perdita dati.

Formazione del personale

Formazione del personale e lettere di incarico diventano ulteriori strumenti essenziali. Non solo come elemento dell’organizzazione aziendale, ma come mezzi per evitare appesantimenti di dati nei flussi e dispersione delle informazioni. Questi, con un’attenta pianificazione, possono rimanere nella disponibilità solo di chi ha necessità di conoscerle per determinati scopi. Ne guadagnerebbe anche la sicurezza aziendale nel suo complesso.

Rischio di data breach

Indispensabile per aziende che hanno più reparti o divisioni valutare a quali consentire l’accesso alle varie tipologie di dati. A molti sfugge che, ad esempio, è inutile per un settore produzione avere a disposizione gli indirizzi dei clienti che servono a chi è incaricato alle spedizioni. Allo stesso modo, nel caso di studi medici e laboratori di analisi è a dir poco inopportuno che la contabilità venga a conoscenza delle patologie dei pazienti o possa accedere ai referti medici. Una corretta gestione di archivi e computer sul punto porterebbe anche ad una limitazione dei rischi in caso di data breach. Questo in effetti limiterebbe danni e diffusioni di dati.

Un’attenta valutazione dei rischi e una conseguente corretta pianificazione e gestione della Privacy può quindi rivelarsi non il costo temuto che, purtroppo, porta molte aziende a non applicare correttamente il GDPR, bensì un miglioramento della complessiva funzionalità dell’azienda e uno snellimento delle procedure.

contattaci
GDPR, Sicurezza informatica, Social media

Protezione dati pubblici sulle fan page social

Vediamo insieme cosa dice la legge riguardante la protezione dei dati pubblici sulle fan page social.

Purtroppo, spesso accade che nel corso di una delle troppe telefonate che riceviamo, nonostante le sanzioni già emesse dal Garante, alla domanda “Come avete ottenuto il mio numero di telefono?” tra le farfuglianti giustificazioni dell’operatore possiamo trovare quella fornita principalmente a imprenditori e professionisti troviamo “E’ un dato pubblico possiamo usarlo.” E’ sicuramente vero che i recapiti telefonici e gli indirizzi mail di aziende, commercialisti, avvocati e altri professionisti sono pubblici perché trovati in albi o pagine web.

Tuttavia è altrettanto vero che mettere a disposizione il proprio telefono o una email di contatto non autorizza in alcun modo ad usarli per comunicati o promozioni commerciali. La stessa problematica riguardante la protezione dei dati pubblici si presenta anche nel contesto delle cosiddette fan page social.

 fan page social e protezione dati
Attraverso le fan page, le aziende possono reperire informazioni riguardanti gli utenti

GDPR e fan page

Con maggiore delicatezza abbiamo lo stesso problema per quanto riguarda le pagine social e, in particolar modo, per le popolarissime fan page.

Questi specialmente su Facebook sono tra gli strumenti più utilizzati da aziende e professionisti. Infatti, tramite loro possono così farsi conoscere e aumentare il proprio bacino di utenza. Non dimentichiamo, infatti, che anche un semplice like su una pagina o un post è elemento che permette di conoscere chi lo ha messo e, magari unendolo ad altri elementi facilmente reperibili in rete, profilarlo per individuare le sue preferenze.

Un’attività tra quelle a cui, maggiormente, il GDPR cerca di mettere un freno per tutelare gli utenti dalle invasione della propria privacy.

Facebook inoltre mette a disposizione del gestore della fan page la possibilità, tramite cookie e insight, di reperire numerosi dati personali per capire da chi è composto il pubblico della pagina, provenienza, età e a quale sesso appartiene, oltre ovviamente alle sue preferenze.

È proprio questo lo strumento che serve per poter creare campagne pubblicitarie mirate. Allo stesso modo vengono utilizzati i risultati dei test e sondaggi di opinione che molte aziende lanciano sempre sui social. Mettere in rete quello che sembra un sondaggio lanciato da un qualsiasi utente è un modo ideale ed economico, oltreché subdolo, di venire a conoscenza di gusti e preferenze dei propri potenziali clienti.

Art. 6 del Regolamento

Il trattamento di questi dati è chiaramente limitato dall’articolo 6 del Regolamento. Essi infatti sono utilizzabili laddove funzionali ad adempiere obblighi legali gravanti sul titolare ovvero, se non funzionali, quando questi siano necessari per l’esecuzione di un contratto (esecuzione, dice la norma, non proposta o offerta).

Ricordiamo oltretutto che è sempre necessaria una forma di una forma di consenso espressa. La forma del silenzio assenso non è quindi prevista dal GDPR. Queste osservazioni devono essere anche alla base di ogni forma di trattamento dei dati. Questi vengono messi a disposizione sui social network e, in particolare, proprio sulle fan page, alle quali accedere e commentare rivela gusti e preferenze dell’utente se non addirittura un pensiero politico o l’orientamento sessuale di una persona.

Così il gestore della fan page diventa anche il Titolare del trattamento di dati che un utente crede di aver concesso solo a Facebook. Il gestore così imposta i parametri del trattamento ad obiettivi di gestione aziendale determinandone le finalità; lo stesso gestore può chiedere di ricevere da Facebook, in forma anonima, i dati raccolti dai cookie per finalità di webtracking.

La sentenza della corte Europea

Sul punto si è pronunciata la Corte Europea. Quest’ultima in una sua sentenza, ha di fatto nominato l’amministratore di una pagina fan di Facebook responsabile del trattamento dei dati. Facebook a sua volta, insieme all’amministratore, sarà responsabile di tale trattamento che quest’ultima raccoglie e mette a sua disposizione. Il Gestore della pagina dovrà quindi procurarsi una valida base di trattamento per poterli utilizzare e creare le campagne mirate di advertising.

contattaci
Formazione, GDPR, Sicurezza informatica

Protezione dati e personale di desk: l’ABC del GDPR

Un aspetto importantissimo che riguarda il personale di desk e la loro formazione è la questione della protezione dati ossia l’ABC del GDPR.

L’esempio classico è quello dello studio medico. Nel momento in cui passiamo davanti al tavolo della segretaria, troviamo in bella mostra l’agenda con gli appuntamenti della settimana, un paio di ricette che qualcuno dopo passerà a prendere e la cartella clinica con il nome del paziente visitato prima di noi. Lo stesso può accadere in decine di altre situazioni. E’ questo il problema della gestione dei dati personali: divulgazione non autorizzata, distruzione, modifica o accesso agli stessi (data breach). In poche parole, i titolari del trattamento dei dati che dovrebbero uniformarsi a tale regolamento attraverso un’ adeguata formazione.

I Titolari del trattamento, anche quando decidono di adeguare la loro azienda al GDPR, hanno spesso la tendenza a concentrarsi sulla foresta. Tuttavia dimenticano che questa è formata da tanti piccoli alberi ciascuno dei quali ha la sua funzione. Ribadendo che il GDPR non prevede forme specifiche o misure definite in ordine alle modalità di protezione e trattamento dati da parte del titolare. Difatti quest’ultimo ha la massima discrezionalità. E’ lui a decidere per ogni suo singolo incaricato o dipendente quali misure debbano essere adottate e quale formazione debba essere impartita.

Formazione e privacy

Ma anche qui il testo del GDPR è ancora decisamente generico, fino al punto che il termine formazione non si trova nei considerata e viene nominato per la prima volta all’art.39 tra i compiti del Responsabile della Protezione Dati, laddove venisse incaricato dal Titolare di provvedervi. Insomma, nessun obbligo o dovere specifico così come non è formalmente previsto il costante cambio di password.

Protezione dati gdpr e formazione

La formazione la possiamo ritenere implicita nei dettati dell’art. 32 GDPR e, in ogni caso, è uno dei doveri principali per ogni titolare, nonché norma comportamentale dovuta. Tuttavia, molte aziende, né comprendono né valutano i costi ed i rischi e quindi di conseguenza induce le stesse a trascurarla. I rischi possono essere elevati e lo sanno bene molto. Ad esempio i laboratori di analisi sanzionati dal Garante per € 10.000 dopo che avevano inviato a dei pazienti i risultati delle analisi di altri.

Data Breach

L’esperienza di ogni giorno ci insegna che i primi a venire in contatto con i dati personali non sono certo i vertici di un’azienda, bensì segretarie, collaboratori esterni che raccolgono proposte, coloro che ricevono e leggono email per informazioni e preventivi. Tutti soggetti che, purtroppo, non sempre sono oggetto di adeguati percorsi formativi. Inoltre, spesso avviene che aziende terze che agiscono in forza di un contratto per conto del titolare, raccolgano i dati di possibili futuri clienti.

Fin troppo spesso si tende a non rispettare la catena dei rapporti e delle lettere di incarico. I passaggi che portano, ad esempio un operatore di call center (sempre che lo faccia in maniera legittima), a usare un numero di telefono, non vengono presi in considerazione. Pertanto, sia l’ operatore, che l’ incaricato che raccoglie una proposta per conto di un fornitore, svolgono attività di trattamento dati per la quale dovrebbero avere ricevuto un’adeguata formazione, istruzioni e, ovviamente, una lettera di incarico che contenga i limiti dell’attività svolta.

Anche queste sono considerazioni e elementi di valutazione che un imprenditore oculato dovrebbe tenere presenti al momento della predisposizione della policy privacy aziendale. Sono infatti questi potenziali rischi e cause di data breach. Non si tratta quindi solo di indicare norme comportamentali, ma anche di avere un chiaro quadro dell’attività dell’azienda, i rapporti contrattuali con partner e fornitori e predisporre adeguate lettere di incarico.

Il non farlo è data breach.

contattaci
GDPR

WhatsApp per le comunicazioni aziendali: quali rischi si corrono?

È sicuramente una soluzione comoda quella di usare WhatsApp per le comunicazioni aziendali e, magari, scambiare informazioni e documenti. Quali sono ormai le aziende che non hanno il loro gruppo WhatsApp, usato per comunicare di tutto tra tutti i dipendenti. Dai turni di lavoro alle indicazioni su come realizzare un nuovo progetto fino ad arrivare, ovviamente, ai documenti. Certamente i più pensano che, trattandosi di messaggi interni ad un gruppo di colleghi e magari indispensabili per la produzione, il tutto sia giustificato e non richieda alcuna accortezza se non la riservatezza degli utenti. Ma l’uso di WhatsApp per le comunicazioni aziendali non è esente da rischi: vediamo quali tra i più comuni si corrono.

Niente di più sbagliato

WhatsApp per le comunicazioni aziendali: quali rischi si corrono?

Notizie di stampa riferiscono di un’indagine che ha evidenziato come oltre il 70% dei dipendenti utilizzi questo sistema, al di là dei gruppi, per inviare dati, documenti, notizie sensibili e ogni altro tipo di informazione relativo all’attività aziendale. Ovviamente in pochissimi si rendono conto che, nella quasi totalità dei casi, viene utilizzato uno strumento non fornito dall’azienda e veicolare informazioni e documenti con queste modalità potrebbe già costituire una violazione del GDPR. Basta infatti chiedersi se l’azienda abbia autorizzato ogni dipendente, previo percorso formativo, a usare il proprio cellulare e quello specifico mezzo di trasmissione delle informazioni. E accanto ai cellulari dobbiamo anche considerare i computer ed i portatili oltre alle piattaforme di videoconferenze, da Skype fino alla gettonatissima Zoom.

Rischi di perdita dati e di contenuti che raddoppiano per le aziende che, difficilmente, possono controllare i loro dipendenti non solo fuori dall’orario di lavoro, ma anche nelle proprie abitazioni. Di conseguenza gli stessi apparati sono usati anche da moglie e figli, magari per vedere video, collegarsi a siti non sicuri o aprire mail inattendibili.

Data breach

Vi sono inoltre altri rischi che sarebbe opportuno evitare come, ad esempio, quello che un documento possa transitare da un cellulare all’altro fino a diventare virale. Lo sa bene la Banca di Transilvania. Questa infatti è stata sanzionata per 100.000 euro dal Garante della Romania. Questo perché i dipendenti avevano prima fatto girare al loro interno e poi all’esterno, la lettera con la quale un cliente rispondeva in maniera ironica ad una richiesta di spiegazioni. Mancata adozione di misure organizzative e inefficienza della formazione.

data breach

Sicurezza dei dati aziendali

Già prima della pandemia era emerso come gran parte dei data breach fosse imputabile ai dipendenti che, con comportamenti a dir poco leggeri, avevano messo a repentaglio la sicurezza dei dati aziendali. Addirittura in alcuni casi anche con autorizzazione più o meno implicita da parte del datore di lavoro ad utilizzare strumenti reperibili online e gratuitamente. Non valutando purtroppo tutti i connessi rischi e le immaginabili conseguenze. Quello della banca rumena è solo uno dei possibili esempi. Immaginiamo cosa potrebbe accadere se in una chat di colleghi venisse inviato un certificato medico con indicate particolari patologie. Oppure su un gruppo aziendale foto di un cliente in un momento di imbarazzo magari scattate a sua insaputa.

Informativa sulla privacy

Si tratta di un problema non da poco per le aziende che, magari pensando di risparmiare, utilizzano piattaforme che possono generare altri tipi di costi più che benefici. Ad esempio sanzioni da parte del garante e data breach che potrebbero anche imporre una completa revisione, con i conseguenti oneri, dell’intera politica privacy aziendale. L’uso dei sistemi di messaggistica e dei social, è uno degli aspetti da considerare al momento di predisporre la privacy policy come fattore di rischio.

contattaci
GDPR

Pagheresti per ricevere pubblicità? Lo stai già facendo!

Carosello era il modo gentile e educato con cui la pubblicità entrava nelle case degli italiani con i volti rassicuranti degli attori e dei personaggi dei cartoni animati dell’epoca: Calimero, Gatto Silvestro, Macario, Totò, Gino Bramieri, Nino Manfredi e Ernesto Calindri solo per dirne alcuni. Anche famosi registi come Fellini, Pasolini e addirittura Sergio Leone erano dietro alle macchine da presa.

Carosello era un format in cui si susseguivano filmati di circa due minuti e solo gli ultimi trenta secondi erano dedicati al prodotto; la prima parte era una storia per attirare l’attenzione di un pubblico per il quale il programma era un amico con cui rilassarsi la sera, dopo o durante la cena, con la famiglia. Un programma per tutte le età quando la RAI aveva un solo canale ed era in bianco e nero. Improponibile al giorno d’oggi: chi starebbe a guardare due minuti filati di pubblicità? Pochi secondi di spot sono anche troppi e la pubblicità non si guarda in poltrona.

Le aziende si sono adattate ai nuovi schemi, ai contesti e agli strumenti dai quali l’utente moderno  non riesce a staccarsi e che sono il veicolo per portare messaggi pubblicitari facendo pagare l’utente stesso che, dopo, comprerà quel prodotto che gli è comparso sulla schermata del tablet o dello smartphone.

La pubblicità non è più quella di una volta che usava un cartellone sulla strada più trafficata sperando che qualcuno lo notasse per poi entrare nel negozio più vicino; oggi è il cliente che fornisce alle aziende tutti gli elementi necessari per farsi individuare, profilare e, quando chiederà qualcosa allo strumento digitale che ha sempre in mano, un sistema di intelligenza artificiale gli farà quasi magicamente apparire sullo schermo quello che il navigatore crede sia la soluzione migliore per lui.

Invece il prodotto consigliato è il frutto di un’analisi incrociata fatta di click, preferenze, dati di navigazione, precedenti ordini e ricerche fatte in precedenza. Da questa analisi, in poche frazioni di secondo, viene rilevato chi è l’autore della ricerca e possono iniziare le offerte da parte dei motori di ricerca per essere i primi a comparire sulla schermata che, quasi sempre, è quella di Google.

Il cliente non è però consapevole che, con questo sistema, ha pagato due volte: in euro o dollari il prodotto acquistato e, prima ancora, con i suoi dati personali, il privilegio di ricevere l’offerta personalizzata. Premessa: i dati personali sono la benzina del motore di internet e, al contempo, un bene che vale più dell’oro e del petrolio: altrimenti perché vi sarebbero così tanti furti di dati?

Per capire l’ulteriore pagamento effettuato dal cliente è opportuno sapere che una sentenza del TAR del Lazio ha stabilito come l’adesione ad un social non sia un gesto concesso a titolo gratuito dalle piattaforme: si tratta di un vero e proprio contratto che l’utente conclude con i vari Facebook, Instagram e che paga con i propri dati personali. Non solo dati identificativi, ma anche le preferenze, le interazioni, i like, la partecipazione a gruppi per non parlare delle foto da cui si può capire lo stile di abbigliamento, le vacanze preferite, gli animali domestici e non solo. Quel click con cui si chiede di dichiara voler andare avanti nella navigazione è la risposta affermativa alla domanda se sono state “lette, comprese e accettate” le condizioni di navigazione e le modalità di trattamento dati: spesso, anche quelli dei propri familiari. Non sei controllato da Internet: sei tu che lo hai permesso con un click: non dimentichiamolo. Il GDPR, la nuova normativa europea  sulla protezione dati, ha portato a qualche piccolo passo avanti ma, al momento, sembra che solo una piccola parte delle aziende italiane si siano adeguate, con buona pace della privacy. Intanto rimpiangiamo la vecchi pubblicità di una volta e accontentiamoci di offerte seriali h 24 nell’arco di tutta la giornata.

contattaci
GDPR

Smart Working e GDPR

Avv. Gianni Dell’Aiuto – Consulente privacy e DPO

Lo smart working è diventato ormai un modello che piace e che, una volta terminata l’emergenza Covid, potrebbe diventare specialmente per molte aziende private, la regola e non più l’eccezione o la soluzione ad una emergenza. Minori costi per l’azienda e flessibilità da parte dei dipendenti nel corso della giornata. Meno costi per spostamenti, pasti fuori casa e conseguenti ticket: una soluzione che potrebbe accontentare tutti ma che impone un’attenta valutazione sugli aspetti relativi alla privacy sia per i dati che devono essere trattati sia per il controllo a distanza da parte del datore di lavoro.

Per quanto riguarda questo aspetto erano stati realizzati degli interventi addirittura sullo Statuto dei Lavoratori che, nel 1970, non poteva prevedere le moderne modalità di prestazione dell’attività lavorativa. Il “Jobs Act” ha provveduto tra l’altro ad eliminare l’esplicito divieto di controllo a distanza della prestazione lavorativa, sancendo una sorta di “permesso condizionato” di utilizzo degli impianti audiovisivi e di altri strumenti dai quali possa derivare anche la possibilità di un controllo a distanza dell’attività del lavoratore esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro o per la tutela del patrimonio aziendale.

Risultato immagini per smart working

Ma una cosa di cui, specialmente all’inizio della pandemia, sembra sia stato tenuto poco conto da parte delle imprese, è stata l’applicazione del GDPR. Le necessità di non interrompere il lavoro e di mantenere i ritmi della produzione non hanno fatto fermare l’attenzione e porsi alcune domande essenziali che un imprenditore avveduto dovrebbe peraltro considerare.
È infatti lui che in quanto Titolare del Trattamento ha la responsabilità di prevedere le modalità di protezione anche in situazioni di emergenza.

Ecco che diventava quindi opportuno chiedersi, in caso di lavoro svolto da remoto, se il sistema di protezione dei dati dovesse essere oggetto di variazioni o accorgimenti particolari ad iniziare dal fatto che le linee su cui dovrà necessariamente connettersi il dipendente non sono sicure come sono (o dovrebbero essere) quelle aziendali. Non è un aspetto da poco anche considerando che sulle stesse linee, magari in contemporanea, potrebbero collegarsi anche i figli che adottano la didattica a distanza e, inoltre, che potrebbero essere usati terminali non aziendali. Non è certo infrequente che qualcuno disponga a casa di un computer che offre prestazioni nettamente superiori a quelle di un’azienda.

All’inizio della pandemia le domande rivolte anche al Garante in materia di trattamento dati riguardavano principalmente le modalità di controllo della salute dei dipendenti e in pochi consideravano che nel momento in cui veniva attivava la VPN si avviava un trattamento aggiuntivo magari da inserire nell’apposito registro per le aziende che devono tenerlo.

Risultato immagini per smart working

Inoltre in pochi avevano debitamente istruito e formato il proprio personale sui rischi che potevano derivare dall’utilizzo di computer non protetti o usati da altre persone all’interno dello stesso nucleo familiare. Dalle notizie attinte in cronaca emergono addirittura accessi da parte di sconosciuti a lezioni in DAD e perfino il blocco dell’anagrafe di due comuni italiani a causa di attacchi informatici subiti da impiegati che stavano lavorando in remoto.

È un aspetto più che mai da tenere in considerazione da parte dei Titolari del trattamento: formazione, apparati sicuri, linee sicure e rigorose indicazioni per il personale sono adesso precisi doveri ai quali un’impresa non può sottrarsi non solo per evitare data breach e altri rischi, ma anche possibili sanzioni del Garante.

contattaci
GDPR

E i vostri Cookie sono in regola?

Gianni Dell’Aiuto

La CNIL è l’equivalente francese del nostro Garante per la Privacy e si sta dimostrando particolarmente attenta all’applicazione del GDPR; in particolare ha posto la propria attenzione sui cookie.
I “biscottini” infatti sono il primo e più sottovalutato strumento che può essere utilizzato per la raccolta dati e la profilazione dei visitatori di un sito.

Tra le numerose sanzioni comminate ne spiccano in particolare due, sia per l’importanza dei soggetti vittima del provvedimento sia per gli importi commisurati al fatturato delle stesse. Cento milioni di euro ad Amazon e trenta milioni a Google. Si tratta di sanzioni di cui non si trovano precedenti per violazione dei consensi Cookie  e che, necessariamente, dovranno indurre web designer e operatori di siti web a rivedere le proprie policy, magari iniziando dall’informare i propri clienti dei rischi che corrono per mancati adeguamenti.

Una breve premessa. I cookie sono stringhe di testo che il browser colloca all’apertura di una pagina web. Salvano i dati dell’utente durante la visita di un sito web e migliorano la capacità di navigazione  ad esempio memorizzando i dati di login sul browser e le preferenze. Peraltro spesso i cookie non sono conciliabili con la protezione dati poichè tracciano precisi aspetti del comportamento degli utenti durante la navigazione, permettendo poi ad esempio la personalizzazione della pubblicità sul browser. Un chiaro sistema di profilazione, particolarmente i cookie di tracciamento e di targeting.

Chiaro come questo apparentemente insignificante particolare sia viceversa il primo aspetto da considerare per ogni azienda nella creazione di un indispensabile sito web. L’utente deve essere messo in condizione di sapere a che cosa presta il consenso e non, come purtroppo accade, avere solo la possibilità di accedere al sito accettando ogni possibile cookie e, di conseguenza, ogni trattamento dei suoi dati. Divieto assoluto, ad esempio, di caselle pre-spuntate che per la revoca del consenso richiedono un opt-out.

Con il termine inglese opt-out (in cui opt è l’abbreviazione di option: opzione), traducibile in italiano come rinuncia o deroga, ci si riferisce ad un concetto della comunicazione commerciale diretta secondo cui il destinatario di una comunicazione commerciale non desiderata ha la possibilità di rifiutare di ricevere ulteriori invii in futuro

Il GDPR ha reso rigorosa la definizione di cookie, per cui un banner di consenso cookie per essere a norma deve contenere un testo chiaro che informi l’utente sull’utilizzo dei cookie. Deve informare inoltre l’utente che può accettare o rifiutare i cookie e permettergli di prestare il consenso per ogni finalità separatamente. Divieto quindi di dare maggior rilievo ai pulsanti di accettazione.

Perché la sanzione ad Amazon? Semplicemente perché non è stata in grado di auto-bloccare i cookie: su amazon.fr, i cookie venivano rilasciati prima del consenso dell’utente. Inoltre l’avviso nel banner era incompleto e non chiaro: il banner non menzionava in nessuna parte del sito che gli utenti potevano rifiutare i cookie. Inoltre, le finalità di questi non erano esplicite: per esempio i cookie erano utilizzati per mostrare annunci personalizzati all’insaputa dell’utente stesso.

Google invece ha ricevuto la sanzione anch’essa perché non era stata capace di auto-bloccare i cookie su google.fr, e perché i cookie venivano rilasciati prima del consenso dell’utente. Inoltre l’’avviso nel banner era incompleto poiché rilasciava un promemoria con le opzioni “accedi ora” e “ricordamelo più tardi” ma non informava l’utente sui cookie che venivano caricati sul browser e l’uso di questi.

Due piccole bucce di banana su cui sono scivolati due grandi colossi e che impongono a tutti un’attenta revisione dei siti e delle cookie policy.

contattaci
GDPR

GDPR, ma è proprio necessario?

Avv. Gianni Dell’Aiuto
Per imprese e professionisti è soltanto un costo; per gli utenti è solamente una perdita di tempo perché “tanto ormai sanno tutto di noi, ci controllano, la privacy non esiste.” E con il semplicismo viene stravolta completamente una delle più importanti innovazioni della rivoluzione digitale che, invece, è stato concepito come strumento di protezione per gli utenti e, laddove ben applicato, si può rivelare formidabile strumento dell’organizzazione aziendale.

Facciamo una premessa di carattere concettuale che aiuta non poco a chiarire l’argomento. Basterebbe smettere di usare una volta per tutte di usare il termine privacy per rendere tutto più comprensibile. La privacy è il diritto alla protezione della nostra sfera personale; la privacy si può esemplificare nel divieto nei confronti di tutti di non essere spiati nelle nostre abitazioni e nei luoghi di lavoro. Il GDPR si occupa della protezione dati personali, vale a dire il dovere da parte di chi è in possesso dei nostri dati di ottenerli legittimamente, farne uso solo per ciò a cui  è stato autorizzato, non cederli a terzi e vigilare sulla loro conservazione. Deve evitare di perderli, che gli vengano sottratti e, nel contempo, consentire l’esercizio dei diritti garantiti dalla legge da parte di coloro che hanno riposto in lui la propria fiducia consegnandogli non solo nome e mail ma, di fatto, la loro vita privata.

Sono le due facce della stessa medaglia: da una parte chi consegna ad un’azienda o un professionista i propri dati personali e, dall’altra chi li deve conservare e proteggere.

Perché questa scelta da parte del legislatore europeo che ha voluto introdurre un sistema omogeneo in materia per tutta l’Unione? Quando non esisteva ancora internet il problema era meno sentito e probabilmente non si poneva, ma da quando il quotidiano si è digitalizzato sono sempre meno le persone che non utilizzano Internet. Dall’interagire al mondo del lavoro ed anche ormai nella Pubblica Amministrazione, il cambiamento radicale che Internet ha portato al nostro sistema di comunicazione è stato totale e non è possibile tornare indietro: semmai il contrario. Per poter funzionare, la rete ha bisogno di informazioni che costituiscono il suo carburante e queste informazioni, gestite da sofisticati sistemi di intelligenza artificiale e algoritmi, vengono ogni giorno immesse online dai navigatori. Pochissimi tra noi usano più prendere appunti su un taccuino o un diario e preferiscono archiviare qualsiasi cosa digitalmente, come informazioni bancarie, contatti, indirizzi, nelle memorie di un computer o dello smartphone. Questi dati sono inoltre diventati indispensabili alle aziende per poter conoscere la propria clientela, contattarla, fidelizzarla, offrire servizi customizzati e garantirsi la propria esistenza sul mercato.

L’UE si è quindi posta la domanda su come tutelare in primis gi utenti di internet da un uso sconsiderato o illecito dei loro dati e, allo stesso modo, mettere un argine a forme di utilizzo palesemente in divieto dei diritti dell’utenza. Ecco quindi che, nel 2016, nasce il General data protection regulation (GDPR) che dal maggio 2018 dovrebbe essere applicato da parte di chiunque gestisce, per contratto, necessità o legittimo interesse, i dati personali altrui.

Si tratta di una normativa complessa che, purtroppo, viene ancora considerata un eccesso di pezzi di carta ed inutile burocrazia nonché di costi; tuttavia è probabilmente un’importante passo avanti, o forse il primo, per creare la consapevolezza dell’importanza del valore dei dati e di come proteggerli sia un diritto di ognuno e un dovere di chi li detiene. Riflettiamo sulla circostanza che, oggi, il furto di dati online sembra essere il crimine più diffuso al mondo; non meravigliamoci. I dati personali valgono, si dice, più dell’oro e del petrolio messi insieme. Ecco il perché di una norma che, purtroppo, deve fare ancora molta strada prima di essere compresa dagli utenti e applicata dalle imprese.

GDPR

I rischi della privacy fai da te

Avv. Gianni Dell’Aiuto
Si tratta di una banalissima coincidenza, una semplice casualità, ma la circostanza che l’informativa per il trattamento dei dati personali del D. Lgs. 196/2003 è disciplinata dall’art. 13 e che anche nel GDPR è sempre lo stesso articolo a indicare gli elementi di cui deve essere portato a conoscenza l’interessato, sembra stia ingenerando un po’ di problemi. Non è infatti raro il caso di imbattersi in informative privacy che, a scanso di equivoci, anche perché nel più ci sta il meno, sono così formulate:

“Gentile Cliente, ai sensi dell’art. 13 del D. Lgs. 196/2003 (di seguito “Codice Privacy”) e dell’art. 13 del Regolamento UE n. 2016/679 (di seguito “GDPR 2016/679”), recante disposizioni a tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, desideriamo informarLa che i dati personali da Lei forniti formeranno oggetto di trattamento nel rispetto della normativa sopra richiamata”.

All’apparenza nessun problema, a parte il fatto che l’art. 13 della Legge Privacy, il D. Lgs. 196/2003 è stato abrogato dal D. Lgs. 101/2018. Ecco che troviamo in giro informative che, nel dubbio, li inseriscono entrambi. Usare questi moduli presi online, come una volta si potevano acquistare in cartoleria i moduli dei contratti di locazione, può essere un boomerang.

Niente di grave alla resa dei conti potremmo dire, ma non è una svista da poco inserire in un’informativa, un documento che è anche l’immagine di un’azienda, un articolo di legge abrogato. Si tratta di un evidente segnale di come alla privacy non viene dedicata ancora la dovuta attenzione e sembrano non sortire effetto le notizie dei continui attacchi ransomware e furti di dati, lo spamming continuo, il phishing. Il Garante ha emesso anche emesso sanzioni importanti, prima fra tutti una da oltre dodici milioni di Euro nei confronti di Vodafone, ma tutto ciò non sembra ancora sufficiente per far comprendere l’importanza della protezione dati per le imprese nonchè aumentarenell’utenza il livello di consapevolezza e attenzione sull’importanza della propria riservatezza.

Coronavirus, Garante Privacy: no a iniziative fai da te nella raccolta dei  dati – Editoria.tv

Come detto, per un’azienda, ai fini pratici e di possibili conseguenze sanzionatorie, inserire un articolo di legge abrogato all’interno della proprie informative non comporta conseguenze se non di immagine quantomeno per quella parte di utenza, ancora poca ma si spera in aumento, che pone l’attenzione su dettagli apparentemente piccoli ma fondamentali. In ogni caso si tratta di un danno di immagine, ma è un’applicazione della teoria della finestra rotta. Si tratta di una fattispecie che, nata in ambito sociale e criminologico, si applica anche all’economia e alle realtà aziendali. Un piccolo particolare non curato può portare a successivi danni: una finestra rotta non riparata o sostituita prontamente, è un buco che permette a chiunque di entrare in un’azienda. Oggi un foro di ingresso, anche piccolissimo, può rivelarsi un traforo enorme per chi già da minuscoli spazi riesce introdursi nei nostri computer per rubare dati, metterli in giro o ricattare un’azienda

E’ stato più volte posto in evidenza come il GDPR non si riduca alla firma del modulo privacy e ad un buon antivirus. Il regolamento è un insieme di attività fatto di elementi informatici e anche legali che non sono meno importanti dei software di protezone. Informative, lettere di incarico, contratti e formazione del personale per non esporre la propria impresa a rischi che vanno ben oltre le sanzioni a tanti zeri da parte del Garante. Danni di immagine, reputazione, affidabilità sul mercato, perdita di dati, pagamento riscatti e non solo. Potrebbe risentirne l’intera stabilità dell’azienda.

Formazione

Avvocati e GDPR. Forse anche qui è meglio fare chiarezza.

Avv. Gianni Dell’Aiuto

Purtroppo anche per i legali sembra sia necessario fare un po’ di chiarezza sull’applicazione del General Data Protection Regulation, o più semplicemente GDPR, la nuova normativa obbligatoria che impone a imprese, pubbliche amministrazioni e, allo stesso modo, liberi professionisti, di proteggere i dati personali di cui vengono in possesso per espletare i loro incarichi.

Purtroppo si sente ancora qualcuno confondere questa delicata materia con il segreto professionale e, per questo motivo, ritenere che la nostra categoria sia esentata. Duole dire che purtroppo accade così come, non di rado, ci si possa imbattere in qualcuno che pensa di avere adempiuto a questo relativamente nuovo obbligo di legge con un buon antivirus e una password. Non è proprio così. E per capirlo dovremmo anche usare una corretta terminologia e non l’abusato termine privacy che, per essere realisti, ha altro significato. Certo, non aiuta la circostanza che abbiamo un Garante per la protezione dati che si autodefinisce Garante per la Privacy e la stampa ben volentieri usa questa terminologia comoda ed entrata nella prassi ma, in realtà, distortiva del problema.

Gdpr: avvocati esonerati dall'obbligo di nomina del Dpo

Proviamo a dirlo in parola banali. Il segreto professionale è il divieto che incombe su ogni professionista di non rivelare ad alcuno quanto appreso dai clienti e ciò che è stato detto all’interno di quella specie di confessionale che si forma durante gli incontri con chi deve necessariamente esporre fatti spesso delicati o scottanti. La Privacy (o meglio diritto alla riservatezza) è la figura giuridica che tutela l’intimità della sfera privata di una persona da interferenze altrui. Vietato spiare e farsi gli affari altrui, potrebbe essere un sunto.

Con il GDPR vengono disciplinate la modalità di raccolta, trattamento, conservazione e anche distruzione dei dati personali che occorrono per lo svolgimento di un incarico e che devono anche essere protetti. Ciò deve essere fatto non solo con l’applicazione dei criteri minimi di prudenza e diligenza, ma anche operando una valutazione soggettiva che porti alla scelta di misure tecniche e le forme di protezione dati più idonee alla tipologia degli stessi che, non dimentichiamolo, sono diventati il bene più prezioso e rubato al mondo.

Immaginiamo, ad esempio, uno studio legale specializzato in responsabilità medica che raccoglie e conserva dati sensibilissimi quali potrebbero essere indicazioni cliniche e terapeutiche oltre ai normali dati sul cliente e il nucleo familiare. Questo studio legale diventa particolarmente appetibile per hacker che potrebbero rivendere i dati a società che svolgono profilazione per case farmaceutiche che possono così proporre altre soluzioni o prodotti ai loro clienti. UN hacker attaccherebbe più probabilmente un ospedale, mi si potrebbe obiettare; giusto, ma tra il computer i di un avvocato e il sistema dell’ospedale quale dei due può presentare maggiore vulnerabilità?

Manager, avvocato o informatico? Chi è il Data Protection Officer

Per avere un data breach, non è necessario la violazione di un computer, o almeno non solo: basta che una segretaria o un collaboratore smarrisca una chiavetta contenete i dati dei clienti ed ecco che scatta l’obbligo di segnalazione al Garante e l’avvio delle procedure previste per cercare di evitare sanzioni o provvedimenti di altra natura che potrebbero sostanziarsi in un danno anche di immagine.

Non solo quindi l’avvocato dovrà predisporre un documento da far firmare unitamente al mandato che renda edotto il cliente di come i suoi dati verranno conservati, a chi esibiti, per quanto tempo saranno conservati e così via. L’avvocato diviene Titolare del trattamento ed ha quindi l’autonomia decisionale ed il dovere di scegliere le modalità di trattamento. Deve inoltre avere chiaro che i clienti diventano “interessati” ai sensi della norma e, in quanto tali, devono poter esercitare i loro diritti anche di controllo.

Non basta quindi l’informativa scaricata da uno dei siti istituzionali: il primo passo verso l’applicazione del GDPR è avere la consapevolezza che dobbiamo proteggere dati dei nostri clienti.

contattaci