La catena della gestione dati di Avv. Gianni Dell’Aiuto

Raccolta dati è un termine decisamente generico ed insufficiente per descrivere quella che è una vera e propria catena che deve disciplinare l’intera attività di gestione dei dati che necessitano per il funzionamento di un’azienda e, precisiamo subito, non è a causa del GDPR se quella del trattamento dati si è trasformata in una vera e propria filiera indispensabile per una corretta gestione aziendale.

Sono a dir poco remoti, arcaici addirittura, i tempi in cui era sufficiente registrare fornitori e clienti in archivi cartacei e aggiornarli solo quando indispensabile: oggi i dati non sono soltanto quelli tradizionali che, in ogni caso, sono aumentati per ciascuno dei soggetti dovendo includersi PEC, mail private e aziendali, siti internet e quant’altro necessario. Oggi un database aziendale è formato anche da dati statistici e valutazioni che vanno dalla customer satisfaction alle criticità del post-vendita e non solo. Ovviamente non sono certo questi dati personali da trattare ai sensi del GDPR, ma si tratta comunque di elementi del patrimonio aziendale che devono trovare una loro tutela e protezione e, in tal senso, gli strumenti messi a disposizione da una corretta applicazione del GDPR possono rivelarsi utili.

Venendo comunque alla protezione del dato così come imposto dal regolamento Europeo 679/2016, che ancora in troppi ignorano, l’organizzazione della catena inizia dal momento in cui si debbano scegliere i dati da trattare. Il principio della minimizzazione, infatti, è un parametro che, se da un lato impone dall’altro consente ad un’azienda di evitare un appesantimento dei propri archivi e, conseguentemente, anche abbassare i rischi in casi di perdita dati.

Fin dal momento della raccolta è inoltre possibile individuare i soggetti deputati ad ogni forma di trattamento sia all’interno di un’azienda che da parte di fornitori esterni di servizi quali, ad esempio, il consulente del lavoro per i necessari adempimenti e il commercialista per la contabilità; ciò anche al fine di predisporre informative sufficientemente esaustive e non correre il rischio di omissioni derivanti da frettolosi copia-incolla.

Indispensabile per aziende che hanno più reparti o divisioni valutare a quali consentire l’accesso alle varie tipologie di dati; a molti sfugge che, ad esempio, è inutile per un settore produzione avere a disposizione gli indirizzi dei clienti che servono a chi è incaricato alle spedizioni. Allo stesso modo, nel caso di studi medici e laboratori di analisi è a dir poco inopportuno che la contabilità venga a conoscenza delle patologie dei pazienti o possa accedere ai referti medici. Una corretta gestione di archivi e computer sul punto porterebbe anche ad una limitazione dei rischi in caso di data breach potendo così limitare danni e diffusioni di dati.

Formazione del personale e lettere di incarico diventano ulteriori strumenti essenziali non solo come elemento dell’organizzazione aziendale, ma come mezzi per evitare appesantimenti di dati nei flussi e dispersione delle informazioni che, con un’attenta pianificazione, possono rimanere nella disponibilità solo di chi ha necessità di conoscerle per determinati scopi. Ne guadagnerebbe anche la sicurezza aziendale nel suo complesso.

Un’attenta valutazione dei rischi e una conseguente corretta pianificazione e gestione della Privacy può quindi rivelarsi non il costo temuto che, purtroppo, porta molte aziende a non applicare correttamente il GDPR, bensì un miglioramento della complessiva funzionalità dell’azienda e uno snellimento delle procedure.

La querelle tra Rosseau e il Movimento Cinque Stelle: al centro i dati personali di Avv. Gianni Dell’Aiuto

La decisione del Garante è stata emessa a seguito di una segnalazione proposta dall’Associazione Movimento 5 Stelle che aveva inutilmente richiesto all’Associazione Rousseau, responsabile del trattamento dati dei propri iscritti, il trasferimento dei dati degli iscritti. Tale segnalazione seguiva ad una richiesta con la quale la persona fisica responsabile della protezione e del trattamento dati di entrambe le associazioni, lamentava di avere ricevuto richieste di trasferimento di detti dati da due diverse persone fisiche che rivendicavano la loro legittimazione in tal senso.

Il problema si poneva quindi, oltre che sul piano politico, anche sulla filiera del trattamento: il Movimento incolpava la Piattaforma di non aver trasmesso i dati su sua richiesta, in quanto effettivo Titolare, ed integrando una violazione dell’art. 38 n. 3 lett. G del GDPR. Tra le altre cose era criticato anche l’aver continuato a trattare questi dati, nonostante la diffida ricevuta, inviando mail massive agli iscritti. Veniva richiesta anche la restituzione dei siti web di riferimento. I titolari della piattaforma, nominata responsabili nel 2016 da Grillo, contestavano la legittimazione di Vito Crimi a presentare la richiesta e rivendicavano la propria legittimazione a richiedere agli eletti i contributi per il proprio funzionamento.

Il Garante, dopo avere chiarito che Titolare del Trattamento è il Movimento mentre l’associazione Rousseau è Responsabile ancorché, come dalla stessa dichiarato, in parte autonomo titolare, ha posto in evidenza come l’articolo 38 del Regolamento imponga al Responsabile di cancellare o restituire i dati “dopo che è terminata la prestazione dei servizi relativi al trattamento” e a provvedere alla cancellazione delle copie esistenti “salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati” e ciò anche laddove non previsto nell’atto che disciplina il rapporto tra i soggetti o, come nella fattispecie, la nomina a Responsabile sia avvenuta prima della definitiva entrata in vigore del GDPR.

Non passava inosservato al Garante che i dati erano stati forniti dagli interessati in forza dell’informativa messa a disposizione dal Movimento e che possono essere usati solo per i fini da quest’ultimo perseguiti. Illegittima, pertanto, la risposta della Piattaforma a cui, di conseguenza, il Garante, ai sensi dei suoi poteri correttivi di cui all’art. 58 GDPR, ha ingiunto di mettere a disposizione del Titolare, il Movimento, nelle forme da questo indicate, tutti i dati personali degli iscritti al Movimento di cui l’Associazione risultasse responsabile: tutto ciò entro 5 dalla ricezione del provvedimento facendo salvo ogni ulteriore trattamento per gli iscritti di cui Rousseau fosse al contempo autonomo titolare del trattamento. È stata comunque inibita ogni altra forma di trattamento.

Ovviamente la Piattaforma può opporsi ma la lettera degli atti è chiara e, molto verosimilmente, la Casaleggio e Associati, o chi per essa, non avrà più a disposizione l’elenco degli iscritti al Movimento e, confidiamo, anche i dati di chi aveva navigato sui siti utilizzat.

Prescindendo dal merito della vicenda è evidente come il controllo dei dati di iscritti, simpatizzanti, o anche curiosi, coinvolti in un movimento, sia un’attività sensibile e, come fatto notare a più riprese, oggi chi controlla i dati delle persone ha un potere enorme. Resta ora da stabilire se, e in che misura, la Piattaforma potrà continuare ad usare i dati in suo possesso quale titolare. Emerge quindi una gestione non certo perfetta nella filiera del trattamento nel Movimento.

Il Garante tedesco blocca Facebook: non potrà usare i dati di Whatsapp per tre mesi. La vicenda arriva nelle mani del Garante europeo di s-mart.biz

Il Garante tedesco è stato chiaro ed estremamente rigido: l’ordinanza emessa qualche giorno fa impone a Facebook Ireland lo stop all’uso dei dati raccolti dalla sua controllata Whatsapp. Motivazione? L’Autorità di Amburgo ravvede, nell’uso da parte di Facebook dei dati personali raccolti da Whatsapp , di “scopi privati”: manca cioè quello che può essere definito come un interesse legittimo a trattare tali dati.

La decisione – spiega il Garante tedesco – ha lo scopo di salvaguardare i diritti e le libertà di quei milioni di utenti tedeschi che hanno rifiutato di approvare i nuovi termini di utilizzo“.

Lo stop di 3 mesi si deve anche al fatto che il Garante tedesco si rivolgerà al Garante Europeo (EDPS) allo scopo di estendere il blocco a questo trattamento in tutti i 27 stati UE. La procedura d’urgenza durerà appunto 3 mesi. Il Garante tedesco ha fatto anche sapere di aver inviato una richiesta “per indagare sulle attuali pratiche di data sharing” alla Commissione per la Protezione dei Dati irlandese, ma questa non è stata presa in considerazione (e così rinfocolano le polemiche sul Garante irlandese, colpevole secondo alcuni di eccessivo lassismo verso le Big Tech).

L’ordinanza del Garante segue la decisione, preannunciata da Whatsapp, di una progressiva restrizione delle funzioni degli account Whatsapp di quegli utenti che hanno rifiutato di rinunciare al controllo dei propri dati decidendo di non condividerli con Facebook a partire dal 15 maggio 2021. La decisione iniziale per coloro che non avranno accettato la nuova policy di Whastsapp era quella di cancellare tali account, ma con l’aggiornamento della policy della scorsa settimana è stato fatto un passo indietro, introducendo la “sanzione” delle funzioni ridotte.

Whatsapp, da parte sua, ha già fatto sapere che il blocco non comporterà alcuna modifica ai piani: le modifiche alla privacy degli utenti sono confermate e la società conferma che gli utenti dovranno scegliere se utilizzare account con funzionalità limitate o condividere i propri dati con Facebook per usare account a pieno regime. Le parole sono piuttosto dure: “visto che le affermazioni dell’Authority di Ambrugo sono sbagliate, l’ordine (di non trattare i dati n.d.r) non avrà alcun impatto sul roll out dell’aggiornamento” ha dichiarato alla Reuters un portavoce di Whatsapp.

Gli aggiornamenti alla policy di Whatsapp: dove sta il problema?
Il Garante Tedesco, in una nota alla stampa, ha sollevato una serie di dubbi rispetto ai cambiamenti che avverranno nella policy di Whtasapp: cambiamenti che ampliano non poco il poteere di elaborazione dei dati dell’azienda in merito a:

  • il trasferimento dei dati di comunicazione degli utenti ad aziende di terze parti con esplicit riferimenti a facebook;
  • il nuovo obiettivo di “garantire l’integrità dei servizi e la verifica interaziendale dell’account” al fine di determinare un uso appropriato del servizio;
  • l’uso dei dati per connettersi ai prodotti delle aziende di Facebook;
  • l’elaborazione delle informazioni sulla posizione.

Insomma il Garante tedesco si schiera dalla parte di chi, da qualche mese, denuncia la scarsa chiarezza, confusione e contraddittorietà della nuova policy Whatsapp. Non solo: il Garante ha anche scoperto come alcuni dei dati degli utenti Whatsapp (compreso numero di telefono e identificativo del dispositivo) sono già condivisi con Facebook per “la sicurezza della rete e per impedire l’invio di spam). Ora non resta che attendere la decisione del Garante Europeo. 

Uso di dati pubblici e fan page social: un aspetto poco compreso della protezione dati di Avv. Gianni Dell’Aiuto

Accade piuttosto spesso che, nel corso di una delle ancora troppe telefonate che riceviamo, nonostante le sanzioni già emesse dal Garante, alla richiesta di conoscere “Come avete avuto il mio numero di telefono?” tra le farfuglianti giustificazioni dell’operatore possiamo trovare quella fornita principalmente a imprenditori e professionisti troviamo “E’ un dato pubblico possiamo usarlo.” Sicuramente la circostanza che i recapiti telefonici e gli indirizzi mail di aziende, commercialisti, avvocati e altri professionisti sono pubblici perché trovati in albi o pagine web è vera, ma allo stesso modo è vero che mettere a disposizione il proprio telefono o una email di contatto non autorizza in alcun modo ad usarli per comunicati o promozioni commerciali.

Lo stesso problema si pone, se possibile con maggiore delicatezza, sulle pagine social e, in particolar modo, per le popolarissime fan page che, specialmente sui Facebook sono tra gli strumenti più utilizzati da aziende e professionisti per farsi conoscere e aumentare il proprio bacino di utenza. Non dimentichiamo, infatti, che anche un like su una pagina o un post è elemento che permette di conoscere chi lo ha messo e, magari unendolo ad altri elementi facilmente reperibili in rete, profilarlo per individuare le sue preferenze. Un’attività tra quelle a cui, maggiormente, il GDPR cerca di mettere un freno per tutelare gli utenti dalle invasione della propria privacy.

L’articolo 6 del Regolamento pone infatti chiari limiti per questi dati che sono utilizzabili laddove funzionali ad adempiere obblighi legali gravanti sul titolare ovvero, se non funzionali, quando questi siano necessari per l’esecuzione di un contratto (esecuzione, dice la norma, non proposta o offerta) e ricordiamo anche che una forma di consenso espressa è sempre necessaria. Il GDPR non prevede alcuna forma di silenzio assenso. Queste osservazioni devono essere anche alla base di ogni forma di trattamento dei dati messi a disposizione sui social network e, in particolare, proprio sulle fan page, alle quali accedere e commentare rivela gusti e preferenze dell’utente se non addirittura un pensiero politico o l’orientamento sessuale di una persona.

Inoltre Facebook mette a disposizione del gestore della Fan Page la possibilità, tramite cookie e insight, di venire a conoscenza di numerosi dati personali per capire chi compone il pubblico della pagina, da dove proviene, quale età ha e a quale sesso appartiene, oltre ovviamente alle sue preferenze. È proprio questo lo strumento che serve per poter creare campagne pubblicitarie mirate. Allo stesso modo vengono utilizzati i risultati dei test e sondaggi di opinione che molte aziende lanciano sempre sui social. Mettere in rete quello che sembra un sondaggio lanciato da un qualsiasi utente è un modo ideale ed economico, ancorché subdolo, di venire a conoscenza di gusti e preferenze dei propri potenziali clienti.

In tutto ciò il Titolare del trattamento di dati che un utente crede di avere concesso solo a Facebook diventa anche il gestore della fan page, che imposta i parametri del trattamento ad obiettivi di gestione aziendale determinandone le finalità; lo stesso gestore può chiedere di ricevere da Facebook, in forma anonima, i dati raccolti dai cookie per finalità di webtracking.

Sul punto si è pronunciata la Corte Europea che, in una sua sentenza, ha di fatto nominato l’amministratore di una pagina fan di Facebook responsabile del trattamento insieme a Facebook dei dati che quest’ultima raccoglie e mette a sua disposizione. Il Gestore della pagina dovrà quindi procurarsi una valida base di trattamento per poterli utilizzare e creare le campagne mirate di advertising.

Si ravvisa quindi la necessità di prevedere privacy policy anche per le fan page per creare una valida base di trattamento e non incorrere nello stesso errore di chi ritiene i dati resi pubblici liberamente utilizzabili.

Smart Working e trattamento dati di Avv. Gianni Dell’Aiuto

Lo smart working, in italiano lavoro agile, viene definito dal Ministero del Lavoro e delle Politiche Sociali “una modalità di esecuzione del rapporto di lavoro subordinato caratterizzato dall’assenza di vincoli orari o spaziali e un’organizzazione per fasi, cicli e obiettivi, stabilita mediante accordo tra dipendente e datore di lavoro; una modalità che aiuta il lavoratore a conciliare i tempi di vita e lavoro e, al contempo, favorire la crescita della sua produttività”. Una definizione che, come oggi di moda, possiamo definire politicamente corretta per definire la prestazione lavorativa da remoto, termine quest’ultimo più opportuno in quanto lo smart working non può essere inteso solo quello dalla propria abitazione. Una soluzione che, prima imposta dalla pandemia e poi sempre più apprezzata sia dai lavoratori sia dalle imprese, è probabilmente una strada senza ritorno verso un nuovo modo di lavorare: minori costi per le aziende e maggiore elasticità per i lavoratori che potranno così gestire meglio anche le relazioni familiari.

Anche nel pubblico il sistema sembra sia stato molto apprezzato, al punto che nel CdM del 29 Aprile scorso sono state parzialmente cambiate le regole del lavoro agile nel pubblico, cancellando, a partire da questo mese di Maggio, la soglia minima del 50% in smart working. In sostanza, maggiore flessibilità organizzativa per la Pubblica amministrazione e un abbassamento della quota di lavoro agile nei Pola, i Piani organizzativi del lavoro agile.In tutto ciò si dovranno tenere presenti molti aspetti che vanno dal diritto alla disconnessione tanto caro a lavoratori e sindacati, fino a quello del controllo da parte del datore sull’effettività del lavoro svolto.

Il problema del trattamento dati, invece, sembra venga messo in secondo piano senza che ci si voglia rendere conto dell’importanza dell’argomento e dei maggiori rischi che, con questo sistema, corrono i dati aziendali e quelli delle Pubbliche Amministrazioni. Non dobbiamo infatti dimenticare che l’indispensabile strumento tecnologico in mano al lavoratore e la rete su cui questi si trova ad operare, devono essere considerati, di fatto, strumenti di lavoro dei quali un’impresa, nella sua qualità di titolare del trattamento, non deve perdere il controllo ai fini di mantenere sotto controllo nel rispetto degli stessi standard di sicurezza che vengono garantiti in azienda.

Spesso sfugge, ad una prima sommaria analisi, il fatto che autorizzare lo smart working vuol dire far uscire i dati contenuti nei portatili dei lavoratori fuori dallo spazio fisico aziendale, dove si presume debbano essere conservati e trattati: ma va tenuto anche di conto, aspetto non trascurabile, che ogni lavoratore che opera da remoto rappresenta una porta aperta alla rete e al database aziendale. Siamo sicuri che il computer da cui il lavoratore si collega non venga usato anche per acquisti online, navigare su siti non sicuri e che, in alcuni momenti, non venga usato da altri membri del nucleo familiare?

In ogni caso, sia che il lavoratore usi strumenti aziendali ovvero che gli sia consentito usare i propri, sembra siano realmente pochi i casi in cui sia stata svolta una formazione adeguata al nuovo sistema di lavoro. Cosa potrebbe accadere se in uno dei computer collegati alla rete aziendale venisse aperta una mail di phishing contenente malware? Ogni titolare di trattamento dovrebbe porsi questa domanda per valutare i possibili rischi e costi prima di allargare lo smart working pensando solo ai risparmi, ad esempio, per minori spazi.

In ogni caso emerge come la responsabilizzazione del lavoratore sia un dovere del titolare per adeguarsi al GDPR in caso di lavoro agile. Si ritiene opportuno riportare le raccomandazioni a suo tempo emanate per la P.A., all’inizio del primo Lockdown, come indicazioni, comunque minimali, da adottare in smart working.

  1. Segui prioritariamente le policy e le raccomandazioni dettate dalla tua Amministrazione;
  2. utilizza i sistemi operativi per i quali attualmente è garantito il supporto;
  3. effettua costantemente gli aggiornamenti di sicurezza del tuo sistema operativo;
  4. assicurati che i software di protezione del tuo sistema operativo (Firewall, Antivirus, ecc.) siano abilitati e costantemente aggiornati;
  5. assicurati che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dalla tua Amministrazione;
  6. non installare software proveniente da fonti/repository non ufficiali;
  7. blocca l’accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro;
  8. non cliccare su link o allegati contenuti in email sospette;
  9. utilizza l’accesso a connessioni Wi-Fi adeguatamente protette;
  10. collegati a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui conosci la provenienza (nuovi, già utilizzati, forniti dalla tua Amministrazione);
  11. effettua sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa. 

Cookie: ancora moltissimi non in regola, eppure la Corte di Giustizia… di Avv. Gianni Dell’Aiuto

Nonostante la Corte di Giustizia Europea sia sa già pronunziata mettendo dei punti fermi sui cookie, ancora in molti non sembra vogliano capire ed adeguarsi. Lo abbiamo ogni giorno davanti agli occhi quando, navigando e accedendo per la prima volta ad un sito, troviamo caselle già spuntate per l’accettazione dei “biscottini” o, più spesso, si trovano ancora policy non compliant con il GDPR se non addirittura siti web con il vecchio sistema di accettazione automatica di tutti i cookie all’inizio della navigazione, ovviamente inclusi quelli di profilazione. Per precisione ricordiamo che i cookie vengono rilasciati all’interno del terminale dell’utente per “facilitare” la navigazione nel corso di accessi successivi ed è lo stesso utente che dovrebbe rimuoverli da ogni singolo sito visitato.

Il GDPR sarebbe già chiaro nella sua formulazione e nel suo complesso, dai quali emerge senza ombra di dubbio come non siano ammesse forme di “silenzio assenso e la Corte di Giustizia UE è andata oltre nella sentenza che, di fatto, ha stabilito come si debba comportare un Titolare del Trattamento per adempiere al disposto del Regolamento ed evitare le sanzioni che sono state irrogate, ad esempio, nei confronti di Google e Amazon.

Nella richiamata sentenza del 2019 (Causa 673/17), la Corte ha richiamato due principi del Diritto Tedesco, trattandosi di contenzioso tra parti con sede in Germania, che ben si attagliano in ogni caso al contesto generale e che, di fatto, si trovano in ogni ordinamento. Ai sensi del primo principio «le clausole contenute in condizioni generali di contratto sono inefficaci, se, in violazione del principio della buona fede, svantaggiano eccessivamente la controparte contrattuale di chi le utilizza»; inoltre «uno svantaggio eccessivo si deve supporre, se una clausola non è compatibile con i principi fondamentali della disciplina legale che ha derogato».

Nel caso di specie la società “incolpata” aveva delle caselle preflaggate che comportavano accettazione di cookie per partecipare ad un gioco a premi e, inoltre, era l’utente a dover deselezionare dalla lista di fornitori e aziende partner quelle da cui non intendeva ricevere pubblicità personalizzata. La Corte, decidendo sul caso, non si è lasciata sfuggire l’occasione di elencare una serie di indicazioni, che di fatto sono regole vincolanti.

Come per ogni altra forma di trattamento il consenso deve essere specifico per ogni tipologia di cookie, specialmente se degli stessi ne dovesse essere fatto uso da parte di terzi; dovranno essere chiaramente indicati nell’informativa non solo, quindi, la tipologia e il tempo di utilizzo dei cookie ma anche le modalità di rilascio degli stessi dopo (e si sottolinea dopo) che l’interessato abbia avuto la possibilità di accettarli o meno, senza rendere difficoltosa la navigazione senza prima avere accettato tutti i cookie.

Di seguito i punti essenziali per la corretta gestione dei cookies, anche di profilazione, un’attività che richiede non solo massima attenzione da parte delle aziende titolari del trattamento, ma anche un lavoro coordinato fra un legale e gli addetti alla parte tecnica.

  1. Redazione e Pubblicazione Cookie Policy (Informativa Estesa) comprensibile per gli utenti del Sito Internet;
  2. pubblicazione di un Cookie Banner (Informativa Breve) in relazione ai cookie per i quali il titolare vuole (e deve) richiedere un chiaro consenso (Es. Profilazione e Marketing);
  3. impedire l’installazione dei cookies sui dispositivi degli utenti prima dell’espressione del consenso;
  4. permettere il rilascio e l’installazione dei Cookies solo dopo una manifestazione positiva del Consenso;
  5. tenere traccia del consenso prestato nonché l’indicazione dei cookies per i quali è stato fornito il consenso;
  6. importante ricordare che le manifestazioni di consenso devono essere basate su un comportamento attivo dell’utente che, pertanto, dovrà accettare gli eventuali cookie. Anche da qui il divieto di caselle prespuntate.

C’è voglia di privacy: il 96% degli utenti iPhone blocca la raccolta dati dalle app di GDPRlab

Flurry Analytics, di proprietà di Verizon Media, monitora giornalmente oltre 2,5 milioni di utenti iOS attivi negli USA e 5,3 milioni di utenti nel resto del mondo, Italia compresa. Parliamo quindi di dati a campione, ma i numeri danno una chiarissima indicazione su quale sia la tendenza degli utenti Apple mobile: solo il 4% degli utenti negli USA e solo il 12% nel resto del mondo consente il monitoraggio da parte di app di terze parti. Ogni giorno, 96 utenti americani su 100 indicano di non volersi fare tracciare dalla pubblicità.

Il campione in analisi si concentra sugli utenti iPhone, il cui sistema operativo è stato aggiornato alla versione 14.5 e, come promesso ripetutamente da Apple, integra una funzionalità per il blocco del tracciamento da parte delle app: da Cupertino non hanno mai fatto mistero, anzi è sempre stato un punto cardine della narrazione pubblica che l’azienda vuole dare di sé, di avere molto a cuore la privacy dei propri utenti.

«Penso che le persone siano intelligenti e che alcune vogliano condividere più dati di altre. Quindi chiedi. Chiediglielo ogni volta. Fino a quando non ti diranno di smetterla perché si sono stancate di sentirselo chiedere. Spiega con precisione alle persone cosa farai con i loro dati» diceva Steve Jobs e questa linea sembra essere confermata all’azienda. Una narrazione che ha uno scopo anche verso la concorrenza, con i continui tentativi di Apple di diversificarsi rispetto agli altri giganti della tecnologia (si pensi ad Amazon, Facebook o Google) che invece sul tracciamento dei dati anche da parte di app di terze parti basano gran parte (e se non tutta) del proprio business.

Apple, per raggiungere questo obiettivo e rassicurare gli utenti riguardo privacy e riservatezza, ha dotato il proprio sistema operativo di una funzione specifica chiamata ATT, App Reaching Trasparency, attirandosi le ire di Facebook. In effetti, ad ora, questa funzionalità è quella che ha garantito, almeno da parte delle Big Tech, il più netto taglio alla profilazione massiva. Altre aziende sono dovute correre ai ripari messe alle strette dal GDPR ma anche da una sempre maggiore attenzione degli utenti alla privacy: anche Google, ad esempio, è già intervenuto sulla questione, anche se in maniera potremmo dire opaca. Infatti Chrome blocca tutti i cookie di terze parti sul proprio browser, ma poi profila lo stesso gli utenti senza uso dei cookie e in maniera proprietaria.

Insomma, quel che risulta chiaro dopo pochi mesi di attività della funzionalità ATT è che gli utenti, quando finalmente sono coinvolti e viene loro chiesto di esprimere un parere sul tracciamento, preferiscono non essere tracciati e non monetizzare la propria utenza: il fatto che maggior privacy vuole dire pubblicità meno personalizzate non sembra affatto interessare gli utenti, almeno quelli Apple.

Leggi qui il report completo di Flurry Analytics

Disaster Recovery Plan. In quanti ci pensano? di Avv. Gianni Dell’Aiuto

Continuare a chiamare privacy la Protezione dei dati, non ci stancheremo di dirlo, porta a gravi distorsioni che inducono a ritenere sufficienti per adempiere al GDPR una privacy policy scaricata da internet e un antivirus. Non è così e, purtroppo, i più se ne rendono conto quando è troppo tardi, magari dopo che una sanzione del Garante o con la perdita dei propri dati, evento che è solo l’anticamera di un intervento successivo dell’Authority.

Ne sanno qualcosa le aziende vittime incolpevoli dell’incendio di un data center che, come riportano notizie di stampa, hanno subito non solo gravi disagi, ma anche creato disservizi alle loro clientele se non, sembra in alcuni casi, addirittura la totale perdita del database aziendale. Si tratta di un evento che, talvolta, non viene preso in giusta considerazione al momento della analisi dei rischi che corrono i dati aziendali e nella predisposizione della privacy policy. La maggior parte delle analisi si focalizza sui rischi che possono essere definiti ordinari, quali un cyberattacco e la successiva fase di recupero dati, ma evenienze catastrofiche, all’apparenza ai confini dell’impossibile, non possono essere trascurate.

Pertanto, non solo deve essere prevista una procedura in caso dei più normali data breach, ma un imprenditore attento deve tenere presente anche l’evenienza di eventi ancora più gravi e, per farlo, non può prescindere da una approfondita conoscenza di quella che possiamo ben definire la catena della privacy nella propria azienda.

In tal senso diventa fondamentale sapere con esattezza dove vengano conservati i dati, informazione che non sempre gli imprenditori dimostrano di sapere in quanto si fidano dei propri web developer, fornitori di gestionali e creatori di siti ai quali si sono affidati. E’ necessario quindi accertarsi che vengano periodicamente eseguiti dei backup per avere le copie dei dati, ma anche la consapevolezza di dove materialmente i propri fornitori abbiano inserito uno dei beni aziendali più preziosi ed appetibili per hacker e pirati informatici.

A tutto ciò deve peraltro essere aggiunto, insieme alle procedure in caso di data breach, anche un vero e proprio piano di Recupero dal Disastro (DRP), un documento aziendale dettagliato che indichi come attivarsi a seguito di eventi catastrofici e che non rientrano in canoni normali di prevedibilità. Questo documento assume rilievo fondamentale quando, all’esito di un evento, l’impresa debba rispondere davanti al Garante dell’accaduto e dimostrare di avere fatto tutto quanto in suo potere per evitare la perdita dei dati, ma anche avere previsto tutte quelle procedure virtuose che potranno limitare eventuali provvedimenti sanzionatori.

Limitare al massimo eventuali interruzioni di servizio, individuare da subito i reparti e le risorse da coinvolgere, che dovrebbero in tal senso ricevere anche la giusta formazione, sapere quali componenti della struttura debbano essere utilizzati sono solo i primi elementi di una strategia di intervento che, in ogni caso, non può prescindere a monte dalla ricostruzione della catena per individuare i vari passaggi e, preventivamente, disciplinarli contrattualmente laddove necessario con soggetti esterni o con lettere di incarico a chi opera all’interno della struttura.

Malware Flubot sempre più pericoloso e diffuso anche in Italia: attenzione al furto dati! di s-mart.biz

Flubot è una minaccia malware conosciuta da qualche tempo: nelle scorse settimane è iniziata la diffusione anche in Italia, evento che ha allertato il nostro CERT – Computer Emergency Response Team, il cui team di esperti si è messo sulle tracce del malware.

In breve – che cosa fa?
FluBot è un malware infostealer per dispositivi Android, ovvero uno di quei virus che si diffonde sui nostri smartphone e cerca di rubare i nostri dati. In dettaglio FluBot cerca credenziali di autenticazione a 2 fattori usate per l’home banking e i dati della carta di credito.

Ruba i dati con molte tecniche: ad esempio, per rubare i dati della carta di credito, visualizza sul dispositivo una finta pagina di verifica Google Play Protect richiedendo all’utente di inserire appunto i dati della carta di credito. Dati che, se inseriti, finiscono direttamente nelle mani degli attacccanti. Mostra comunque molteplici altre pagine di phishing, sostituendo le pagine collegate alle app legittime in uso sul telefono con form predisposti per il furto dati. Ruba anche gli SMS e i contatti presenti in rubrica.

Può inviare SMS, monitorare / disisntallare / bloccare specifiche applicazioni presenti sul dispositivo, aprire pagine web arbitrarie, usare il dispositivo come proxy.

In breve – come si diffonde?
Al contrario del solito, questo malware viene diffuso tramite smishing ovvero il phishing via sms. In Italia sta circolando con SMS in Italiano che emulano comunicazioni relative a spedizioni del corriere DHL.

  

Nulla comunque esclude che nei prossimi giorni il tema degli SMS possa variare.

L’SMS contiene un link che, se aperto da un dispositivo Android, rimanda ad una falsa pagina DHL (con tanto di logo) che invita al download di un file .APK. Il malware si installa avviando il file DHL.APK.

Perchè FluBot preoccupa così tanto?
Il CERT ha spiegato che, di questo malware, preoccupano principalmente frequenza ed efficienza delle campagne. Si sa già per certo che gli attacanti dispongono di un database composto già da milioni di contatti e quindi possono raggiungere una grande quantità di potenziali vittime con le loro campagne di smishing.

Inoltre gli URL dai quali è meso in download il malware sono molteplici e il malware si avvale di un algoritmo che genera automaticamente nuovi domini. Ad ora il malware si diffonde in Europa con l’ausilio di oltre 5000 domini, ognuno dei quali raggingibile attraverso IP differenti di macchine compromesse: bloccarli a livello IP è quindi molto difficoltoso.

Dato il rischio estremamente alto di furto di dati sensibili, personali e finanziari, e le difficoltà a bloccare il malware con strumenti di sicurezza, è estremamente consigliabile che gli utenti prestino molta attenzione agli SMS ricevuti, evitando il click su link contenuti in messaggi sospetti o provenienti da fonti sconosciute.

L’analisi completa del CERT-AGID è disponibile qui.

Riconoscimento vocale sempre più diffuso, sempre più centrale per il nuovo marketing. E riservatezza e privacy? di GDPRlab

Siri, Alexa, Echo, Google Assitant, smartphone e iPhone gestiti con l’assistente vocale, ma anche Clubhouse o Twitter Space: che si parli di smart speaker, di social network, di call center gestiti con l’intelligenza artificiale ( avete presente la frase “Questa telefonata potrebbe essere registrata per il controllo qualità”) poco cambia, il dato di fatto è che il riconoscimento vocale a fine di profilazione fa meno notizia (rispetto al facial recognition ad esempio), ma si sta diffondendo capillarmente a grande velocità. Siamo evidentemente agli albori di un nuovo periodo dell’era digitale, un periodo in cui la profilazione della voce degli utenti sarà parte integrante del futuro del marketing: anzi, in dettaglio un periodo in cui le attività di marketing saranno guidate in tempo reale dalla profilazione della voce di milioni di persone.

Non a caso, sono sempre più diffusi gli algoritmi che utilizzano le voci campionate attraverso il riconoscimento vocale per profilare le persone in base agli schemi di conversazione che vengono captate dai vari dispositivi, con particolare attenzione al timbro della voce. E’ dal timbro della voce infatti che vengono stabiliti sensazioni, sentimenti, personalità e perfino alcune peculiarità fisiche, sulle quali organizzare fasce di profilazione che garantiscano agli inserzionisti la possibilià di creare pubblicità sempre più personalizzate. E questa è una grande differenza rispetto al passato recente, nel quale la profilazione avveniva non sul timbro di voce ma solo sugli schemi di conversazione e dialogo delle persone.

Gli addetti ai lavori spiegano come la diffusione di questo modello di marketing sia dovuto, paradossalmente, alla scarsa fiducia che gli utenti vivono ad ora nei confronti degli attuali sistemi di marketing: c’è chi blocca le inserzioni sui dispositivi, chi il tracciamento pubblicitario (la soluzione App Tracking Trasparency di Apple ha istituzionalizzato questo blocco), chi si preoccupa giustamente del caos che regna nel mondo della raccolta, dei dati e dei data breach / data leak ecc.. Un percorso a ostacoli che rende difficile ormai agli inserzionisti la raccolta dati: ma fare leva su dati biometrici cambierebbe ogni cosa.

Dati biometrici, dati sensibili: e il diritto alla privacy e alla riservatezza?
Tutti i principali fornitori di smart speaker assicurano di non usare le registrazioni delle conversazioni e dei comandi vocali degli utenti: è credibile pensare che non raccolgano ed analizzino i dati provenienti dai miliardi di dispositivi sparsi nel mondo? Difficile dirlo, quel che è certo è che stanno fioccando brevetti che, al contrario, sfruttano proprio questi dati. Amazon ha un progetto, ad esempio, nel quale un dispositivo integrato con Alexa può individuare le irregolarità nelle frasi di una donna in modo da valutare se abbia o meno un raffreddore. Così magari non sarà la donna raffreddata a chiedere ad Alexa di ordinare un certo farmaco alla farmacia online, ma Alexa stessa.

Un brevetto di Google invece consente di tracciare in tempo reale tutti i membri di una famiglia sfruttando una serie di microfoni sparsi per la casa: con questi dati Google dice di poter profilare ogni singolo membro della famiglia, categorizzandone genere ed età, ma anche le abitudini (a che ore cenano gli utenti? A che ore si svegliano?) così da poter offrire “i giusti suggerimenti al momento giusto“.

Qualche giorno fa l’esperto di marketing, nuovi media e privacy Joseph Turow ha parlato lungamente, nel corso di una intervista, proprio di questi temi. All’apparenza c’è, sul punto, una contraddizione evidente: se il marketing sta prendendo questa direzione, le normative che mano a mano vengono approvate in difesa di dati, privacy e riservatezza dicono il contrario, ovvero impongono restrizioni e limiti alla raccolta e trattamento dati per regolamentare un campo che, ad ora, è stato un vero e proprio far west.

Secondo Turow “appare chiaro come siamo ai primi passi di una rivoluzione basata sulla profilazione della voce che le società vedono come parte integrante del futuro del marketing” e le legislazioni attuali non interromperanno tale processo. Come è già successo con Google e Facebook e la loro incredibile quantità di dati raccolti, il marketing basato sul riconoscimento vocale diverrà comunque un pezzo fondamentale delle strategie di promozione e vendita e lo diverrà quando ormai gli assistenti vocali saranno così diffusi da non poterne fare a meno. Insomma, GDPR o meno, il nuovo marketing sfrutterà le nostre voci ed eventuali ulteriori specifiche di legge rischiano di arrivare a “frittata già fatta“.