GDPR: le aziende italiane sono le più sanzionate. Raddoppiano le ispezioni rispetto all’inizio del 2021 di GDPRlab.it

Lo studio legale internazionale DLA Piper ha elaborato un sondaggio per “scattare una fotografia” della situazione delle aziende italiane rispetto all’applicazione del GDPR a 3 anni dall’entrata in vigore del Regolamento stesso. Il campione di aziende intervistate afferisce a vari settori:

  • 24% tecnologia, media e telecomunicazioni;
  • 23% aziende alimentari e vendita al dettaglio;
  • 16% servizi finanziari e mercato bancario;
  • 9% assicurazioni;
  • 11% wellness e life sciences.

Dal sondaggio emerge chiaramente come le aziende italiane risultino le più sanzionale in Europa per violazioni delle previsioni del GDPR. Il numero di sanzioni è correlato ad un vero e proprio balzo in avanti del numero di ispezioni compiute dall’authority, che risultano raddoppiate rispetto allo stesso semestre dello scorso anno: un dato che ribadisce la necessità e urgenza, per le aziende, di adottare procedure interne per gestire al meglio eventuali ispezioni da parte del Garante.

Dal sondaggio emerge che oltre il 43% degli intervistati si è già organizzata in questo senso, il 19% ha adottato invece una procedura interna, senza però analizzarla e specificarla nei dettagli. C’è anche un 7% di aziende che non ha adottato alcuna procedura di gestione delle ispezioni e ritiene di non averne bisogno, mentre il 5% degli intervistati ha dichiarato di aver già subito ispezioni e quindi ritiene di non aver bisogno di procedure ad hoc.

A fronte di un aumento dell’attività ispettiva, non corrisponde però una conseguente attenzione alla notifica dei data breach subiti: il Data breach report 2021, pubblicato sempre da Dla Piper mostra come il numero di breach notificati al Garante in questi 3 anni sia di 3460, dato che stride con le 77.747 notifiche registrate in Germania. Il dato stride perchè non indica che le aziende italiane sono più sicure e ubiscono meno breach ma che, anzi, le aziende italiane sono estremamente restie a denunciare i data breach subiti nonostante sia un obbligo di legge.

Sul tema è interessante registrare come solo il 26% delle aziende esegua analisi specifiche caso per caso o richieda l’assistenza di un legale esterno, solo il 14% si è dotato di una procedura interna ma anche di strumenti legali per garantire imparzialità e indipendenza nella valutazione dei breach. Eppure il 74% degli intervistati conferma di avere introdotto una procedura interna sul punto: insomma, il rischio è che tali procedure rimangano “pura lettera”, semplicemente formali, senza una solida e dettagliata analisi sia del caso che degli obblighi derivanti.

Interessante il cambio di rotta che emerge sull’uso dei cookie per attività di marketing: il 49% dichiara di non svolgere (o non svolgere più) attività di marketing su siti di terze parti, mentre solo il 19% delle aziende installa i propri cookie su siti di terze parti.

Il grande enigma: quanto conservare i dati?
Pare che uno dei temi che più crea difficoltà agli esperti di privacy sia quello dei termini di conservazione dei dati. I dati indicano inoltre che questo problema è il più sottovalutato dalle aziende nonostante già siano state emesse le prime sanzioni proprio per violazione dei termini di conservazione. In fatto ad esempio, di trattamenti a finalità di marketing, il 19% conserva i dati per più di 24 mesi dalla raccolta dei dati stessi o dall’ultima interazione dell’utente mentre oltre il 21% non dà alcuna limitazione alla conservazione dei dati finchè non è l’interessato stesso ad eseguire l’opt-out.

Rispetto invece alla finalità di profilazione dell’utente, il 18% non cancella mai i dati e continua a trattarli in una modalità che è si aggregata, ma che consente comunque di risalire al dato singolo. Un rassicurante 53% però quantifica le aziende che procedono alla cancellazione dei dati personali.

Il trasferimento dati: aziende nel caos dopo la sentenza Schrems II
La sentenza Schrems II pare aver mandato in confusione alcune aziende sul come gestire il trasferimento dei dati fuori dallo Spazio economico europeo: solo il 37% delle società valuta sistematicamente il trasferimento dei dati personali, il 19% si limita alle analisi a quei dati che sono asset rilevante per l’azienda. Oltre la metà degli intervistati, però, non esegue alcun audio o controllo sui propri fornitori.

Aumento della criminalità informatica? GDPR come arma di difesa di Avv. Gianni Dell’Aiuto

Non è necessario alcuno sforzo di immaginazione o di fantasia per rendersi conto che la criminalità informatica è in costante aumento; è del resto logico pensare che ladri e borsaioli preferiscano agire su piazze ben popolate per confondersi con la massa e rubare portafogli e borsette. Ovvio quindi che, con l’aumento di frequentatori di quella piazza virtuale enorme che è la rete, i malintenzionati rivolgano maggiore attenzione ad un contesto dove non solo si presentano le occasioni migliori e sempre più numerose, ma anche dove si trovano i portafogli migliori da sottrarre; addirittura vere casseforti.

Queste casseforti, piene di preziosissime monete, sono gli archivi e le banche dati delle aziende, che permettono di accedere a indirizzi e dati personali di milioni, se non miliardi, di utenti internet che possono essere usati per i più vasti scopi illeciti: profilazione, vendita ad aziende di marketing, hackeraggio vero e proprio sono solo alcuni dei possibili usi dei dati. Ma se gli scippatori di internet sembra siano attratti dai bottini più pingui, anche i piccoli portafogli sono attraenti; basti pensare ad un commercialista o un avvocato a cui criptare tutti i dati contenuti nei propri archivi per poi chiedere un riscatto in Bitcoin per restituirli (forse). Altre informazioni che sono contenute nei nostri computer e smartphone sono i dati di accesso ai conti correnti e i numeri di carte di credito ed i codici per i pagamenti online. I rischi possono andare da quello di vedersi svuotare il conto corrente o anche quello di scoprire che qualche buontempone ha fatto acquisti a nome nostro su un portale di vendite online.

I ladri di dati possono inoltre contare su due elementi che giocano decisamente a loro favore. In primis l’anonimato, che possono garantirsi con connessioni da remoto con account fasulli o, magari, usando le credenziali di accesso di un ignoto navigatore; inoltre possono fare affidamento sulla disattenzione e le distrazioni dell’utente medio di internet che, troppo spesso, non si rende conto delle conseguenze di un click, magari fatto con un dito mentre cammina in strada, parla con gli amici o beve un caffè. I pirati informatici sono consapevoli di come sfruttare a loro favore i comportamenti umani mediante attività di social engeenering, vale a dire sfruttare il comportamento umano e le sue debolezze per meglio poter accedere ai loro terminali digitali.

In tutto ciò le aziende si trovano al centro degli attacchi informatici in quanto non solo obiettivi ideali per i furti di dati e le estorsioni, ma anche perché è difficile ipotizzare, e quindi monitorare, tutti i possibili attacchi portati sfruttando le debolezze del fattore umano che, in questo momento, sono aumentate a causa dello smart working e, comunque, delle possibilità di operare da remoto: computer usati per ogni scopo, anche da altri, e reti non sicure sono fattori che incrementano i rischi.

In questo contesto emerge più che mai per aziende e professionisti la necessità di prestare maggiore attenzione alla protezione dei dati e rispettare le prescrizioni del GDPR che, visto in questa prospettiva, diventa una potente arma di difesa e uno strumento di profilassi dai rischi maggiori. Minimizzare i dati in proprio possesso è già uno strumento utile se non indispensabile e, allo stesso tempo, porre in essere tutti gli strumenti di protezione per sé stessi quali, a banale titolo di esempio, firewall e buoni sistemi antivirus a cui affiancare un adeguato training di tutto il personale che dovrà, sotto qualsiasi forma, occuparsi del trattamento dati e, anche sotto questo punto di vista, limitare quanto più possibile gli accessi. Le policy in caso di data breach e, in ogni caso, raccolta del consenso e corretta conservazione, diventano indispensabili corollari.

Il GDPR da molti ancora considerato un costo o un inutile dispendio di attività può invece rivelarsi uno strumento difensivo importante per ogni azienda.

Riconoscimento vocale sempre più diffuso, sempre più centrale per il nuovo marketing. E riservatezza e privacy? di GDPRlab

Siri, Alexa, Echo, Google Assitant, smartphone e iPhone gestiti con l’assistente vocale, ma anche Clubhouse o Twitter Space: che si parli di smart speaker, di social network, di call center gestiti con l’intelligenza artificiale ( avete presente la frase “Questa telefonata potrebbe essere registrata per il controllo qualità”) poco cambia, il dato di fatto è che il riconoscimento vocale a fine di profilazione fa meno notizia (rispetto al facial recognition ad esempio), ma si sta diffondendo capillarmente a grande velocità. Siamo evidentemente agli albori di un nuovo periodo dell’era digitale, un periodo in cui la profilazione della voce degli utenti sarà parte integrante del futuro del marketing: anzi, in dettaglio un periodo in cui le attività di marketing saranno guidate in tempo reale dalla profilazione della voce di milioni di persone.

Non a caso, sono sempre più diffusi gli algoritmi che utilizzano le voci campionate attraverso il riconoscimento vocale per profilare le persone in base agli schemi di conversazione che vengono captate dai vari dispositivi, con particolare attenzione al timbro della voce. E’ dal timbro della voce infatti che vengono stabiliti sensazioni, sentimenti, personalità e perfino alcune peculiarità fisiche, sulle quali organizzare fasce di profilazione che garantiscano agli inserzionisti la possibilià di creare pubblicità sempre più personalizzate. E questa è una grande differenza rispetto al passato recente, nel quale la profilazione avveniva non sul timbro di voce ma solo sugli schemi di conversazione e dialogo delle persone.

Gli addetti ai lavori spiegano come la diffusione di questo modello di marketing sia dovuto, paradossalmente, alla scarsa fiducia che gli utenti vivono ad ora nei confronti degli attuali sistemi di marketing: c’è chi blocca le inserzioni sui dispositivi, chi il tracciamento pubblicitario (la soluzione App Tracking Trasparency di Apple ha istituzionalizzato questo blocco), chi si preoccupa giustamente del caos che regna nel mondo della raccolta, dei dati e dei data breach / data leak ecc.. Un percorso a ostacoli che rende difficile ormai agli inserzionisti la raccolta dati: ma fare leva su dati biometrici cambierebbe ogni cosa.

Dati biometrici, dati sensibili: e il diritto alla privacy e alla riservatezza?
Tutti i principali fornitori di smart speaker assicurano di non usare le registrazioni delle conversazioni e dei comandi vocali degli utenti: è credibile pensare che non raccolgano ed analizzino i dati provenienti dai miliardi di dispositivi sparsi nel mondo? Difficile dirlo, quel che è certo è che stanno fioccando brevetti che, al contrario, sfruttano proprio questi dati. Amazon ha un progetto, ad esempio, nel quale un dispositivo integrato con Alexa può individuare le irregolarità nelle frasi di una donna in modo da valutare se abbia o meno un raffreddore. Così magari non sarà la donna raffreddata a chiedere ad Alexa di ordinare un certo farmaco alla farmacia online, ma Alexa stessa.

Un brevetto di Google invece consente di tracciare in tempo reale tutti i membri di una famiglia sfruttando una serie di microfoni sparsi per la casa: con questi dati Google dice di poter profilare ogni singolo membro della famiglia, categorizzandone genere ed età, ma anche le abitudini (a che ore cenano gli utenti? A che ore si svegliano?) così da poter offrire “i giusti suggerimenti al momento giusto“.

Qualche giorno fa l’esperto di marketing, nuovi media e privacy Joseph Turow ha parlato lungamente, nel corso di una intervista, proprio di questi temi. All’apparenza c’è, sul punto, una contraddizione evidente: se il marketing sta prendendo questa direzione, le normative che mano a mano vengono approvate in difesa di dati, privacy e riservatezza dicono il contrario, ovvero impongono restrizioni e limiti alla raccolta e trattamento dati per regolamentare un campo che, ad ora, è stato un vero e proprio far west.

Secondo Turow “appare chiaro come siamo ai primi passi di una rivoluzione basata sulla profilazione della voce che le società vedono come parte integrante del futuro del marketing” e le legislazioni attuali non interromperanno tale processo. Come è già successo con Google e Facebook e la loro incredibile quantità di dati raccolti, il marketing basato sul riconoscimento vocale diverrà comunque un pezzo fondamentale delle strategie di promozione e vendita e lo diverrà quando ormai gli assistenti vocali saranno così diffusi da non poterne fare a meno. Insomma, GDPR o meno, il nuovo marketing sfrutterà le nostre voci ed eventuali ulteriori specifiche di legge rischiano di arrivare a “frittata già fatta“.

I dati illecitamente ottenuti non possono essere utilizzati di Avv. Gianni Dell’Aiuto

Il Garante per la Protezione dei dati personali si è immediatamente attivato di fronte delle notizie di stampa che hanno riferito del data breach di Linkedin, a seguito del quale sono oggi disponibili in rete i dati di circa mezzo miliardo di utenti che sono stati sottratti mediante web Scraping. Si tratta, questa, di una tecnica usata per sottrarre dati mediante programmi software che simulano una normale navigazione mediante i browser più utilizzati quali Mozilla e Firefox.

Il nostro Garante ha preso atto di come, tra i dati così ottenuti dagli hacker, vi possano essere nomi completi e indirizzi email di utenti che possono essere collegati ad altri social nonché le qualifiche professionali degli iscritti ad una piattaforma usata esclusivamente per motivi di lavoro. Non è possibile escludere che siano stati oggetto di sottrazione anche altri dati sensibili.

Se da un lato qualcuno potrebbe pensare che, in teoria, i dati che gli utenti rilasciano su internet siano volutamente esposti in quanto ciò che viene ricercato è una forma di visibilità personale, i rischi di utilizzo illecito sono elevatissimi, in particolare da parte di aziende che, nonostante le ultime, recenti, salate sanzioni dello stesso Garante, continuano attività di telemarketing.

Il Garante ha quindi chiesto informazioni sul Data breach a Linkedin, ma non si è sottratto dal ricordare come ai sensi dell’art. 2-decies del Codice Privacy, così come modificato, i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati ed ogni trattamento sarebbe privo di una valida base giuridica.

Sulla base di queste premesse il Garante ha emesso un avvertimento a chiunque, per qualsiasi ragione, tratti dati personali: l’avvertimento specifica che ogni forma di trattamento dei dati personali oggetto della violazione descritta in premessa si porrebbe in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del GDPR, con tutte le conseguenze, anche di carattere sanzionatorio, previste dalla disciplina in materia di protezione dei dati personali.

Un ammonimento che si spera non resti lettera morta nei confronti di chi pensasse di accedere a questa miniera di informazioni per farne uso.

Dopo regolare denuncia del furto di un hard disk con dati personali, l’ARPAC Campania subisce comunque la sanzione del Garante.. di GPDRlab

Oltre il danno, la beffa si potrebbe dire però il GDPR sul tema è chiaro: in caso di esposizione di dati personali aziende ed enti pubblici hanno il dovere di presentare comunicazione al Garante. Garante che però ha, a sua volta, il dovere di avviare un’istruttoria per verificare l’accaduto e sanzionare eventuali mancanze anche da parte del denunciante. E così è successo ad Arpa Campania (ARPAC), l’Agenzia Regionale per la Protezione dell’Ambiente: un dipendente dell’ente, dopo aver subito il furto di un hard disk contenente dati personali, ha sporto denuncia presso i Carabinieri ma anche, coerentemente con le previsioni del GDPR, il Garante per la protezione dei dati personali.

Tutto corretto e degno di lode, si potrebbe dire: non per il Garante però, che ha deciso comunque di sanzionare ARPAC.

Dopo aver effettuato le dovute verifiche infatti, la nostra Authority ha emesso il provvedimento n. 5/2021 con il quale, alla luce del combinato disposto dagli artt.5 e 32 del GDPR, ha sanzionato l’ARPAC per 8.000 euro circa a titolo di sanzione amministrativa con pubblicazione del provvedimento sul sito dell’Autorità visto che

la violazione è emersa in occasione di una condotta presumibilmente criminosa che potrebbe presentare aspetti di carattere penale, stante peraltro la denuncia presentata dall’Agenzia alle autorità competenti, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del regolamento del Garante n. 1/2019.”

La motivazione? Semplicemente l’hard disk smarrito, contenente dati personali sia provenienti dall’ambito lavorativo che privato dei dipendenti ARPAC, non aveva attivo alcuno strumento di protezione dei dati: in dettaglio il Garante rilevava l’assenza sia di qualsiasi meccanismo di criptazione dei dati che di limite all’accesso agli stessi, consentendo quindi al ladro di poter accedere senza alcuna limitazione al contenuto dell’hard disk rubato.

Ecco perchè il Garante ha ritenuto che, nonostante il furto subito, il titolare del trattamento resti responsabile dei dati, quindi anche della mancata implementazione di misure di sicurezza preventiva: da qui il provvedimento sanzionatorio.