Poca privacy, molti rischi

L'allarme del presidente dell'Autorità garante per la protezione dei dati personali: "Internet è libero solo in apparenza, di fatto è di proprietà di quattro grandi imprese E sulla tutela dei cittadini: "La disciplina europea c'è, ma può ancora poco" 
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Massimo Sideri, "Corriere Innovazione", 6 aprile 2017)

"Uso la rete tutti i giorni, amo la rete, è molto utile e per molte cose. Sono però aspramente critico sui social media e ho serie preoccupazioni sul fatto che la rete, apparentemente libera e democratica, sia di fatto diventata proprietà di quattro grandi imprese". Quando lo scrittore Jonathan Franzen diceva queste cose qualche anno fa sembrava un marziano. Il tempo, purtroppo, gli ha dato ragione: l'iperconnessione ha i suoi lati pericolosi. Ma purtroppo se ne parla solo nei momenti drammatici come con il suicidio di Tiziana Cantone. Un caso che rimane da studiare perché è tristemente facile prevedere che ce ne saranno altri. "Si trattava di diffusione illecita di dati personali, la norma permetteva di intervenire. Se avessimo avuto la possibilità dei contenuti in questione immediatamente dopo l'ingresso su Facebook  - ragiona a freddo il Garante della Privacy, Antonello Soro -— saremmo stati nelle condizioni di richiederne l'immediato ritiro. Ma dopo un po' questi contenuti vanno in giro per tutto il mondo, entrano nei server di siti anche piccoli che li possono lasciare silenti e rilanciarli a distanza. E questo è un problema che avremo anche con la nuova legge per il cyber-bullismo: l'intervento tempestivo che la legge ci affida è una cosa molto bella a dirsi, ma poi bisogna essere capaci e avere una struttura per attuarlo. Dopo un periodo di inerzia diventa velleitario rintracciare un video con certezza. Tra sei mesi posso rincorrerlo ma poi ce ne sarà un altro e un altro. Prendiamo anche il caso della portabilità dei dati personali: potrò chiedere al social network di spostare i miei pacchetti di informazioni. È bellissimo da raccontare ma richiederà che i soggetti si attrezzino per rendere facile questo diritto. L'architettura è molto bella, la praticabilità richiederà risorse umane ed energie".

Il governo dei dati personali è ormai chiaramente il dominio di incontro e anche di scontro tra aziende e istituzioni che rappresentano i consumatori. Ma il dibattito sull'esperienza della campagna elettorale di Trump e le grandi elezioni attese in Europa pongono un ulteriore salto di qualità: dal consumatore al cittadino. Quanto è breve il passo?

"Gli over the top, i gestori dei cloud o dei motori di ricerca sono diventati gli intermediari tra produttori e consumatori. Già oggi consumo ciò che solleciti. L'offerta che ho davanti è sempre di più organizzata cercando di cogliere le mie aspettative, ma non è un panel infinito. Questo processo ci influenza molto, dalla scelta del libro fino alla ricerca delle informazioni su chi sei: se ti devo incontrare guardo sulla rete e anche se trovo informazioni irrealistiche non mi viene nemmeno il dubbio che ci siano errori. La rete è fonte di informazione sempre più esclusiva. Questo condizionamento dei comportamenti sociali tende a diventare uno dei caratteri della società digitale e il passaggio dai consumi agli orientamenti politici non è lunghissimo, tende a essere breve".

La sensazione è che il problema sia ormai stato messo a fuoco dagli osservatori più attenti. Chi sollevava dubbi non è più visto come un agitatore o un nemico del progresso. Però allo stesso tempo le armi delle istituzioni appaiono spuntate o, perlomeno, da raffinare.

"Uno dei motivi del ritardo degli interventi, oltre all'inconsapevolezza, è la natura globale di queste aziende laddove gli Stati non sono globali. L'Europa da questo punto di vista ha segnato una avanguardia perché è riuscita a porre almeno le premesse per una disciplina di protezione dei dati. Non so se riuscirà ancora a svolgere questa funzione, ho dei motivi di pessimismo per il futuro, ma l'obiettivo non può che essere di applicare alla società dei dati un diritto globale, largamente accettato e diffuso. Il nuovo regolamento europeo sulla protezione dei dati si sta diffondendo come modello. C'è, per esempio, l'interesse da parte dell'India. Certo, c'è naturalmente in tutto questo la differente velocità della tecnologia rispetto al diritto che ha i tempi della democrazia e della condivisione".

Il tema dei dati si intreccia sempre di più con quello della sicurezza informatica. Nel 2016 uno dei grandi dibattiti è quello sul "trade off" tra libertà e sicurezza, stigmatizzato dal braccio di ferro tra Apple ed Fbi. Un problema che crescerà con la diffusione dell'Internet delle cose.

"Uno dei temi più complicati è appunto l'arrivo dell'Iot e anche quello dell'Intelligenza artificiale perché rendono più lontano dalle persone il problema solo apparentemente laddove invece sono un modo terribilmente più sofisticato di circondare le persone. La bambola spia Cayla fermata in Germania è l'esempio di un oggetto apparentemente ingenuo che si può trasformare in una breccia enorme e diventare un software spia come quelli di hacking team. Anche qui il regolamento europeo Privacy by design è uno strumento efficace perché devi rispettare delle regole. Un altro esempio è la smart city: la devi fare in modo che il processo sia trasparente. I dati sono ormai la chiave per il governo della moderna società digitale".

Fonte: Garante Privacy via Corriere Innovazione

Una privacy tutta nuova: cosa cambia con il nuovo regolamento europeo

Il 24 maggio 2016 è entrato in vigore il regolamento generale europeo sui dati personali.

Questa data segna un passaggio: ci sarà un prima e un dopo. E la privacy non sarà più la stessa. Cambiano le norme da rispettare ma cambia, soprattutto, l’essenza stessa del tema che da tanti anni interessa chi gestisce informazioni per conoscere gli interessi dei propri clienti e potenziali clienti, utilizza dati di recapito per inviare messaggi personalizzati e in generale vuole svolgere attività di marketing diretto.Fino ad ora siamo stati abituati a considerare la privacy come un adempimento, un obbligo da rispettare con comportamenti formali, affidati di solito alla supervisione di un legale. Con il regolamento europeo cambia tutto: la privacy diventa un processo aziendale da gestire in tutte le sue fasi, da quella ideativa a quella esecutiva. La spiegazione di questo cambiamento è semplice. Si parte da una constatazione elementare: i dati personali sono diventati quello che nell'economia tradizionale è una materia prima, sono l’elemento base che va trasformato per produrre ciò che va sul mercato. Sono il petrolio dell’era digitale, l’elemento che va elaborato per generare i fatturati delle aziende. In effetti i dati personali valgono sempre di più.  In estrema sintesi si può dire che oggi i dati personali servono a molte cose:  1) A creare prodotti innovativi, 2) A formulare offerte mirate ai consumatori, trasformando gli sconosciuti in clienti fidelizzati 3) A garantire sicurezza e migliorare l’efficienza 4) A controllare,  profilare e analizzare.  Alla luce dell’importanza che i dati hanno assunto nell'economia attuale diventa essenziale proteggere il processo produttivo che attorno ai dati si genera e prevenire possibili abusi nell'utilizzo delle informazioni riferite agli individui.

Regolamento privacy, che cosa cambia

Ma cosa cambia oltre all'approccio? In una parola cambia tutto:

• Cambia l’informativa che diventa breve, priva di riferimenti normativi, deve essere comprensibile anche ai minori e deve contenere nuovi elementi oggi non previsti (ad esempio l’origine dei dati utilizzati dal titolare e il tempo di conservazione previsto per i dati raccolti)
• Cambia il consenso al trattamento che cessa di essere necessariamente espresso e diventa un consenso inequivocabile e quindi desumibile in base ai comportamenti degli interessati.
• Cambiano i ruoli del trattamento, con l’introduzione la figura del Data Privacy Officer (il responsabile per la protezione dei dati personali) che sarà un vero manager dei data base aziendali e non un semplice garante interno del legittimo trattamento dei dati
• Sparisce l’obbligo di notificazione al Garante e si introduce il registro dei trattamenti
• Sparisce il Documento programmatico sulla sicurezza e nasce il Documento di valutazione di impatto del trattamento dei dati
• Vengono introdotti meccanismi di certificazione e nascono i cosiddetti Sigilli di qualità della Privacy
• Vengono introdotti nuovi diritti: in particolare ogni interessato potrà trasferire da un titolare ad un altro i dati personali che lo riguardano. Nasce il diritto alla portabilità dei dati
• Diventa essenziale progettare la tutela dei dati personali e documentare l’attenzione verso l’analisi dei rischi connessi al trattamento dei dati personali
• Le norme seguono il soggetto cui si riferiscono i dati: ogni cittadino europeo ha diritto di vedere applicato il regolamento europeo anche quando i dati sono raccolti da una società extraeuropea.
• Le sanzioni in caso di violazione aumentano significativamente e per le multinazionali sono calcolate in percentuale (fino al 4%) del fatturato mondiale del Gruppo.

Se vi pare poco ne riparliamo tra un anno il 25 maggio 2018, quando il regolamento alla conclusione del periodo transitorio di due anni concessi per permettere l’armonizzazione tra i vari paesi europei diventerà definitivamente vincolante in tutte le sue parti.  Per arrivare preparati a quel momento e cogliere da subito le tante opportunità che si aprono per le aziende grazie alla nuova era della privacy occorre agire subito, mappare le proprie banche dati, ripensare i processi di trattamento dei dati e impegnarsi per estrarre valore dalle informazioni di cui si dispone nel rispetto degli interessati. Solo così si potrà raggiungere l’obiettivo vero di questa riforma: permettere alle imprese di dire “Privacy is good for business”.

Regolamento privacy, pillole sulla riforma europea in materia di dati personali

Lo sapevi che

• Il nuovo regolamento è direttamente applicabile nei 28 paesi membri dell’Unione Europea senza bisogno di leggi di recepimento?
• In tutti gli stati dell’Unione avremo una identica legge applicabile per il trattamento dei dati personali?
• L’informativa da consegnare ai soggetti di cui vengono trattati i dati cambia profondamente?
• Vengono introdotti nuovi diritti per i soggetti cui si riferiscono i dati e quindi nuovi obblighi per chi vuole raccogliere e trattare dati personali?

Sai rispondere?

• Sai cos’è il diritto all’oblio?
• Sai cos’è il diritto alla portabilità dei dati?
• Sai cos’è la privacy by design e by default?
• Sai per quanto tempo sarà legittimo conservare i dati personali?
• E’ vero che con il nuovo regolamento europeo cambia il consenso e diventa possibile trattare i dati anche in assenza di un consenso espresso?
• Quali compiti deve gestire il Data Privacy Officer?
• Ci sarà l’obbligo di informare le autorità e gli interessati degli accessi non autorizzati e delle perdite di dati personali?
• Che cos’è il registro dei trattamenti?
• Che cos’è il privacy impact assessment?
• Che cos’è l’accountability?
• E’ vero che le sanzioni saranno determinate in misura percentuale rispetto al fatturato aziendale o del Gruppo cui l’azienda appartiene?

Fonte; insurzine.com

Adesso Google può associare i nostri dati personali alle nostre attività sul web

 Il tema della riservatezza dei dati personali, alla luce dell'uso oramai frenetico di internet e del cloud, da una parte diviene sempre più importante per le aziende che si occupano di servizi web, alla ricerca di quante più informazioni possibili per offrire pubblicità e/o servizi maggiormente mirati, dall'altra lo è per gli utenti, "vittime" a volte inconsapevoli, indotte ad accettare sconosciute condizioni per l'utilizzo dei servizi con un semplice click su di un pulsante. A tal proposito si trovano distinzioni tra le società che hanno fatto della riservatezza degli utenti un cavallo di battaglia nella politica aziendale, leggasi Apple, e altre come Google che nonostante pubblicizzino il sostegno massimo alla privacy dei dati personali degli utilizzatori non in poche occasioni hanno dimostrato la ricorsa verso direzioni differenti.

Nel 2007 Google ha acquisito DoubleClick, società che raccoglieva dati di navigazione web, assicurando che mai avrebbe incrociato tali risultati con le informazioni personali possedute grazie all'utilizzo dei propri servizi. Tuttavia, a distanza di quasi 10 anni ha aggiornato le proprie condizioni per l'uso dell'account Google, informando che adesso avrà la possibilità di effettuare tale incrocio. Nel documento si legge adesso: "A seconda delle impostazioni dell'account utente, la sua attività su altri siti e app potrebbe essere associata alle relative informazioni personali allo scopo di migliorare i servizi Google e gli annunci pubblicati da Google". La modifica alle impostazioni deve essere approvata, ed infatti Google richiede specificatamente, una volta effettuato l'accesso al proprio account via browser web, di accettare tali nuove condizioni. L'utente ha la possibilità di mantenere le impostazioni attuali e continuare ad utilizzare i servizi Google allo stesso modo, mentre per i nuovi account invece le nuove opzioni sono abilitate di default. Coi nuovi termini, se accettati, Google potrà unire i dati di navigazione acquisiti tramite i servizi di analisi o tracking alle informazioni già ottenute dal profilo utente. Tutto ciò permetterà alla casa di Mountain View di comporre un ritratto completo dei propri utenti composto dai dati personali, da ciò che viene scritto nelle email, dai siti web visitati e dalle ricerche effettuate, facendo cadere definitivamente il principio di anonimato del tracciamento web. Un portavoce di Google ha risposto alla richiesta di chiarimenti in merito da parte di ProPublica (Via Bicycle Mind), affermando che la modifica alle condizioni è stata effettuata per permettere un aggiornamento rispetto al modo di utilizzo dei servizi della società, basato sull'uso di molti dispositivi diversi. Pur adducendo una spiegazione così vaga e poco convincente, Google ci tiene a sottolineare che la modifica è al 100% facoltativa. Se già avete accettato le nuove condizioni, potrete revocarle in qualsiasi momento recandovi nella sezione delle impostazioni dell'account e disabilitando nella sezione controllo privacy "Attività web e app"; in questo modo Big G non salverà più le attività legate alla ricerca sulle app e nei browser. Nella stessa sezione avremo inoltre la possibilità di cancellare le attività già registrate. Più in generale, il consiglio è di leggere attentamente le condizioni ogni qual volta ci si iscrive ad un nuovo servizio o nel caso di modifica delle stesse. Come detto in premessa, purtroppo troppe volte le aziende, anche a livello visivo, rendono molto semplice cliccare su "accetto" lasciando l'utente inconsapevole della quantità di dati cui il servizio potrà poi disporre. Bisogna invece fare uno sforzo e investire un po' di tempo per leggere le condizioni di un prodotto, in modo da evitare il consenso preventivo ad abusi ai nostri diritti.

Fonte: Saggiamente - Autore: Salvatore Tirino

Facebook usa i dati di Whatsapp: il Garante per la privacy apre un’istruttoria

La condivisione dei contatti tra l’app di messaggistica e il social network è sotto accusa in Italia e in Europa. In Germania intanto il commissario per la protezione dei dati e della libertà d’informazione di Amburgo blocca il trasferimento di informazioni

Alla fine di agosto 2016, a due anni e mezzo dall’acquisizione da parte di Facebook, Whatsapp ha annunciato che avrebbe avviato la condivisione dei dati dei propri utenti con il social network. L’operazione è descritta nella nuove regole sulla privacy dell’app di messaggistica che gli utenti devono accettare prima di usare il servizio. Chi non vuole condividere i dati può disattivare un’opzione dalle impostazioni dell’app, ma per farlo hanno solo trenta giorni di tempo dall’accettazione dei nuovi termini.

LE DOMANDE DELL’ITALIA  
Ma ora il Garante per la protezione dei dati personali ha avviato un’istruttoria a seguito della modifica della privacy policy effettuata da WhatsApp a fine agosto che prevede la messa a disposizione di Facebook di alcune informazioni riguardanti gli account dei singoli utenti di WhatsApp, anche per finalità di marketing.
Il Garante ha invitato WhatsApp e Facebook a fornire tutti gli elementi utili alla valutazione del caso e ha chiesto inoltre di chiarire se i dati riferiti agli utenti di WhatsApp, ma non di Facebook, siano anch’essi comunicati alla società di Menlo Park, e di fornire elementi riguardo al rispetto del principio di finalità, considerato che nell’informativa originariamente resa agli utenti WhatsApp non faceva alcun riferimento alla finalità di marketing.

In particolare ha chiesto di conoscere nel dettaglio: la tipologia di dati che WhtasApp intende mettere a disposizione di Facebook; le modalità per la acquisizione del consenso da parte degli utenti alla comunicazione dei dati; le misure per garantire l’esercizio dei diritti riconosciuti dalla normativa italiana sulla privacy, considerato che dall’avviso inviato sui singoli apparecchi la revoca del consenso e il diritto di opposizione sembrano poter essere esercitati in un arco di tempo limitato. Analoghe questioni sono state sollevate dal Commissario Europeo alla Concorrenza Margrethe Vestager .

«Occorre ricordare che lo scambio di indirizzari non può avvenire senza il consenso degli interessati», osserva il Garante per la privacy Antonello Soro. «A un primo esame, nelle nuove regole adottate da WhatsApp, sembrerebbe non essere previsto un consenso differenziato per le diverse opzioni e che gli utenti siano di fatto costretti ad accettare in blocco le condizioni che prevedono lo scambio dei dati. Le criticità già rilevate in passato vengono in questo modo moltiplicate. Vedremo adesso se Facebook e WhatsApp decideranno, responsabilmente e autonomamente, di sospendere questa iniziativa a garanzia degli utenti». Gli fa eco una breve nota del social network: «WhatsApp è conforme alla legge sulla protezione dei dati dell’UE. Lavoreremo con il Garante della Privacy italiano nel tentativo di rispondere alle loro domande e di risolvere eventuali problemi».

LO STOP TEDESCO  
La prima reazione ufficiale alle nuove regole di Whatsapp era arrivata ieri dalla Germania. Dopo le critiche degli attivisti per la difesa della privacy, oggi il commissario per la protezione dei dati e della libertà d’informazione di Amburgo, uno degli omologhi tedeschi del garante della privacy italiano, ha ordinato il blocco totale dell’acquisizione dei dati degli utenti Whatsapp tedeschi da parte di Facebook. «Questa ordinanza amministrativa protegge i dati di circa 35 milioni di utenti di Whatsapp in Germania», ha dichiarato il garante, Dr. Johannes Caspar. «La connessione dei propri account con Facebook deve essere una loro decisione. Per questo Facebook deve chiedere il loro permesso in anticipo. E questo non è avvenuto».

A rischio non sarebbero solo i dati degli utenti Whatsapp, spiega ancora Caspar, ma anche quelli dei contatti presenti nelle rubriche, soggetti che non hanno mai acconsentito al trattamento delle proprie informazioni da parte di nessuna delle due aziende. La raccolta dei dati di Whatsapp da parte di Facebook, spiega ancora il garante nella nota stampa con cui ha annunciato il provvedimento, avviene insomma in violazione delle leggi tedesche.

Una simile azione di scambio dati, infatti, sarebbe consentita solo se entrambe le aziende (sia quella che offre le informazioni dei propri utenti, sia quella che beneficia della raccolta) avessero chiesto il permesso degli utenti. A oggi, si legge ancora nel documento ufficiale, Facebook non ha ottenuto esplicito consenso per l’acquisizione e la gestione dei dati sensibili della base d’utenza di Whatsapp, né esiste alcuna base legale per giustificare l’intera operazione.
Il garante della privacy di Amburgo è l’autorità competente nel caso specifico perché il social network opera in Germania tramite Facebook Deutschland Gmbh, una controllata che ha sede nella città anseatica e si occupa delle operazioni e del marketing del social network nei mercati di lingua tedesca.

UNA QUESTIONE EUROPEA  
Facebook sostiene normalmente di gestire i dati degli utenti europei tramite la propria controllata in Irlanda. Tuttavia in questo caso l’azienda non potrà pretendere di essersi attenuta alle leggi irlandesi sulla gestione dei dati sensibili. Una recente sentenza della Corte di Giustizia Europea, infatti, ha determinato che le leggi nazionali sulla protezione dei dati si applicano pure a soggetti globali che operino in uno specifico mercato europeo tramite un’azienda con sede nel paese, anche qualora la filiale si occupi solo di aspetti operativi e non fiscali.

Sulla base dell’ordinanza, Facebook in Germania non solo è obbligata a non proseguire la raccolta dei dati, ma dovrà anche provvedere a distruggere gli eventuali dati già condivisi da Whatsapp. In realtà, secondo quanto confermato dall’azienda al garante, a oggi non è ancora avvenuta alcuna acquisizione fisica dei dati contestati.

Fonte: La Stampa - Autore: Nepori / Ruffilli

Attività formativa scuole 2016-2017 : Educazione e cultura digitale

Per l'anno scolastico 2016-2017 è mia intenzione attivare una serie di contatti con scuole, associazioni e aziende per pianificare un'attività formativa sul territorio nazionale mirata ad incrementare il  livello di conoscenza e preparazione dei bambini/ragazzi circa l'approccio a Internet, Social Network, sistemi di comunicazione e condivisione con una particolare attenzione alle seguenti tematiche:

- Rischi e pericoli di Internet

- Prevenzione pedopornografia e grooming

- Tutela Privacy

- Social Network e Comunicazione online: guida all'uso

- Protezione dei dispositivi 

- Affidabilità dei contenuti

- Personal e Brand Reputation

- Cyberbullismo e adescamento online: indicazioni per prevenirlo

- Dipendenza da internet e videogiochi: modalità di intervento

L'obiettivo PRIMARIO è, oltreché formare i bambini della scuola primaria e della scuola media inferiore, sensibilizzare e informare i GENITORI fornendo un feedback su come si comportano i loro figli in Rete e con gli attuali strumenti di comunicazione e socializzazione. 

Dirigenti scolastici, insegnanti e genitori che fossero interessati ad un progetto mirato in tal senso possono contattarmi all'indirizzo email: mauro.ozenda@gmail.com o tramite il mio sito web www.maurozenda.net.

Senza il consenso dei genitori per gli under 16 nessun servizio online

Social network ed email vietati ai minori di 16 anni. Cittadini europei, ma non cittadini digitali: questo il rischio che corrono i minori di 16 anni.
Il limite d’età per entrare di diritto nella nuova era digitale è stato fissato in 16 anni e, senza il consenso preventivo dei genitori o di chi ne esercita la patria potestà, gli under 16 non potranno usare Instagram, Snapchat, Gmail, Facebook e altri Social Network, per loro solo un ritorno al “medioevo” analogico?

Ma il nuovo Regolamento non doveva anche essere una leva di sviluppo e competitività? Ma per chi? Forse per i produttori di carta e penne, buste da lettere e francobolli?  Di sicuro il nuovo Regolamento mira a tutelare e proteggere gli under 16 dalle minacce e insidie della rete, preoccupazione concreta e iniziativa di sicuro molto lodevole, ma chi protegge i genitori?
Scherzi a parte, la questione è decisamente delicata, da una parte i cosiddetti nativi digitali e dall’altra la generazione che ha contribuito a questo nuovo mondo digitale: i primi che potrebbero insegnare loro l’uso della tecnologia e i secondi che potrebbero, con la loro esperienza e maturità, renderli più consapevoli e responsabilizzarli. Ma come sempre, anche questa è l’ennesima dimostrazione della lontananza dei legislatori dal mondo reale, se pensavamo che fosse solo un problema del nostro Paese, ora scopriamo che siamo ben accompagnati. Un’indagine di qualche anno fa, quindi neppur molto recente, stimava che in Europa poco più di un terzo dei giovani, tra i 9 e 12 anni, usava già regolarmente Social Network e dispositivi mobili connessi alla rete. Oggi questa percentuale sarà sicuramente ben maggiore.
Attualmente in Europa tale limite di età è diverso tra i vari Stati dell’Unione, ad esempio in Spagna 14 anni mentre Olanda, Belgio e Ungheria 16 anni e in Polonia addirittura 18 anni.
Perché allora questo limite? Semplice: 16 anni è il risultato di una media e molto probabilmente tale limite non ha neanche accontentato la maggior parte dei Paesi UE. E quindi? Compromesso per compromesso: ogni Stato membro avrà anche la facoltà di stabilire in autonomia tale limite di età. E questa è una delle molteplici zone d’ombra del nuovo Regolamento.
E’ proprio del giorno successivo all’approvazione del 18 dicembre dello scorso anno del testo definitivo del GDPR da parte del cosiddetto Trilogo, un comunicato stampa del Governo Britannico, che informa i propri partner UE, che il limite d’età per accedere ai servizi online in UK sarà fissato a 13 anni. E probabilmente non sarà l’unico.
Ma il Regolamento non mirava ad una armonizzazione normativa in materia di Privacy proprio per l’intera Unione Europea?
Questo è l’ennesimo risultato delle differenti posizioni degli Stati membri, una delle cause peraltro del rallentamento dell’iter di approvazione del nuovo pacchetto di riforma in materia di protezione dei dati.

Ma non era stato anche previsto un forte risparmio in termini di oneri di conformità per le imprese?
Il nuovo quadro giuridico UE non prevede in maniera specifica come tale autorizzazione debba essere messa in pratica, e sposta tale onere alle società di servizi online, le quali quindi non solo dovranno farsi carico di tale gestione, ma dovranno anche individuare le relative modalità e metterle in atto, anche in maniera diversa a seconda del limite d’età di quel Paese piuttosto che di quell’altro. Ne saranno coinvolte anche le PMI e non solo le multinazionali: quante piccole medie imprese erogano servizi e/o vendono prodotti online per gli under 16? E magari i loro mercati sono proprio quello ungherese, polacco e britannico, attualmente i limiti di età sono rispettivamente 16, 18 e 13 anni. Altra zona d’ombra del nuovo Regolamento.
D’altronde il legislatore non poteva essere così “presuntuoso” nel definire quali adeguate misure potrebbero essere utilizzate per la validazione del consenso genitoriale, considerando anche la continua evoluzione del contesto tecnologico, ma limitarsi a “Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili” sembra davvero poca cosa.
Potrebbe allora essere utile per trovare ispirazione volgere il proprio sguardo oltre oceano, verso gli USA. A fine 2015 viene approvato un nuovo metodo per la raccolta del consenso dei genitori per l’accesso ai servizi online dei propri figli minorenni: un sistema di matching tra una foto personale identificativa (es. patente o id card), verificata prima tramite pratiche tecnologiche forensi, e un selfie (scattato tramite smartphone ad esempio).  Le due foto, al fine della verifica, sono analizzate tramite tecniche di riconoscimento facciale biometrico e al termine del processo di validazione, che dura poco più di qualche minuto, i dati acquisiti vengono eliminati definitivamente con tecniche di cancellazione sicura.
Vero è che “I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali”, ma dall’altra parte non si comprende come diversi limiti di età da Stato a Stato membro dell’Unione possa ulteriormente tutelarli. Semmai oltre a creare disuguaglianze tra cittadini under 16 di serie A e B potrà contribuire all’insorgere di problematiche di altro genere.
I probabili differenti limiti di età potranno, infatti, rappresentare già di per sé un problema. Ma i rischi di un mancato allineamento di tale limite verso il basso, per assurdo, potrebbe comportarne altri. Potenzialmente il numero di coloro che potrebbero essere privati dell’uso delle nuove tecnologie e di nuove opportunità di interazione e apprendimento è molto elevato. Questo, inoltre, potrebbe anche portare gli under 16 a mentire sulla propria età in fase di registrazione con i rischi di poter accedere a contenuti per i più grandi e quindi non per loro appropriati. O peggio ancora, migrare all’insaputa degli stessi genitori verso fornitori di servizi on-line, magari meno restrittivi e meno controllati, ma che potrebbero per la natura dei contenuti e degli stessi utenti essere anche più pericolosi. E ancora, quindi, un’altra zona d’ombra.
Per ora di certo c’è un testo di Regolamento che “vieta” l’accesso ai servizi online agli under 16 e purtroppo coloro che hanno auspicato un ultimo “ritocco” al Regolamento prima della sua approvazione definitiva, con l’eliminazione di tale “delega” ai singoli Stati dell’Unione nel poter fissare un proprio limite di età, sono rimasti sicuramente delusi.
E altra certezza: gli under 16 potrebbero non essere Cittadini di Internet, bensì scudieri all’interno di un feudo medioevale.
All’indomani dello storico accordo di metà dicembre sul testo definitivo del GDPR, Trevor Hughes, CEO di International Association of Privacy Professionals (‎IAPP) dichiara “Sembra che il cielo ci stia cadendo addosso, ma abbiamo tempo”, ma nel dubbio forse è il caso di iniziare a spostarci.

Fonte: Techeconomy - Autore: Francesco Traficante

Garante Privacy, Autorità europee adottano misure sui rischi delle applicazioni

Il consenso libero ed informato degli utenti finali è essenziale per garantire il rispetto della legislazione europea sulla protezione dei dati. Le Autorità europee per la protezione dei dati, riunite nel "Gruppo Articolo 29", hanno adottato un parere che esamina i rischi fondamentali per la protezione dei dati derivanti dalle applicazioni per terminali mobili. Nel parere sono indicati gli obblighi specifici che, in base alla legislazione Ue sulla privacy, sviluppatori, ma anche distributori e produttori di sistemi operativi e apparecchi di telefonia mobile, sono tenuti a rispettare. Particolare attenzione viene posta nel parere alle applicazioni rivolte ai minori. Chi possiede uno smartphone ha normalmente attive in media circa 40 applicazioni. Queste applicazioni sono in grado di raccogliere grandi quantità di dati personali: ad esempio, accedendo alle raccolte di foto oppure utilizzando dati di localizzazione. "Spesso tutto ciò avviene senza che l'utente dia un consenso libero ed informato, quindi in violazione della legislazione europea sulla protezione dei dati" - afferma il Presidente dell'Autorità italiana per la privacy, Antonello Soro.

"La nostra Autorità - continua Soro - ha dato un contributo significativo all'elaborazione del parere. Le app sono sempre più diffuse e il loro uso, senza un'adeguata definizione di garanzie e misure a tutela dei dati personali, può comportare rischi per gli utenti che le scaricano. Per questo è fondamentale muoversi in tempo". Gli smartphone e i tablet contengono grandi quantità di dati molto personali che riguardano direttamente o indirettamente gli utenti: indirizzi, dati sulla localizzazione geografica, informazioni bancarie, foto, video. Smartphone e tablet sono, inoltre, in grado di registrare o catturare in tempo reale varie tipologie di informazioni attraverso molteplici sensori quali microfoni, bussole o altri dispositivi utilizzati per tracciare gli spostamenti dell'utente. Anche se l'obiettivo degli sviluppatori è rendere disponibili servizi nuovi e innovativi, le app possono comportare rischi significativi per la privacy e la reputazione degli utenti. La legislazione sulla privacy Ue prevede che ogni persona ha il diritto di decidere sui propri dati personali. Le applicazioni, dunque, per trattare i dati degli utenti devono prima fornire informative adeguate, in modo da ottenere un consenso che sia veramente libero e informato. Un altro rischio per la protezione dei dati deriva da misure di sicurezza insufficienti. Insufficienza che può comportare trattamenti non autorizzati di dati personali a causa della tendenza a raccogliere quantità sempre più consistenti di informazioni e della elasticità e genericità degli scopi per i quali queste vengono raccolte, ad esempio a fini di "ricerche di mercato".Tutto ciò aumenta la possibilità di violazioni dei dati. Il parere individua precise raccomandazioni e obblighi per ciascuno degli attori coinvolti, evidenziando che la protezione di dati personali degli utenti e la relativa sicurezza sono il risultato di azioni coordinate di sviluppatori, produttori dei sistemi operativi e distributori ("app stores") che devono durare nel tempo, e non la semplice applicazione di regole una tantum. 

In particolare, sono richiamati gli obblighi sull'informativa e sul consenso riguardo all'archiviazione di informazioni sui terminali degli utenti, nonché per l'utilizzo da parte delle app di dati di localizzazione o delle rubriche dei contatti. Si raccomandano inoltre alcune "buone pratiche" che devono intervenire sin dalle fasi iniziali di sviluppo delle app, quali l'impiego di identificativi non persistenti, in modo da ridurre al minimo il rischio di tracciamenti degli utenti per tempi indefiniti, la definizione di precisi tempi di conservazione dei dati raccolti, l'impiego di icone "user friendly" per segnalare che specifici trattamenti di dati sono in corso (ad es. dati di geolocalizzazione). In caso di app rivolte specificamente ai minori, si ribadisce la necessità del consenso dei genitori. Si sottolinea, infine, la necessità di una più efficace assistenza all'utente mediante la designazione di "punti di contatto" presso gli "stores" che consentano agli utenti di risolvere in modo rapido problemi legati al trattamento di dati personali da parte delle app installate. Il documento è scaricabile dal seguente link: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2315833
Il Gruppo è stato istituito dall'art. 29 della direttiva 95/46, è un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione. Il presidente è eletto dal Gruppo al suo interno ed ha un mandato di due anni, rinnovabile una volta. Il Gruppo adotta le sue decisioni a maggioranza semplice dei rappresentanti delle autorità di controllo.

La figura del GEPD è stata istituita nel 2001. Suo compito è garantire il rispetto del diritto alla vita privata nel trattamento dei dati personali da parte delle istituzioni e degli organi dell’UE. Nel trattare dati personali relativi a una persona fisica identificabile, le istituzioni e gli organi dell’UE sono tenuti a rispettare il diritto alla vita privata di quella persona. Il GEPD vigila sul rispetto di tale obbligo e fornisce consulenza alle istituzioni e agli organi dell’Unione su tutti gli aspetti inerenti al trattamento dei dati.
Fonte: Protezione Account

Video spogliarelli e sesso ragazze italiane a scuola e venduti online. Rischi gravissimi

Una nuova inchiesta giornalistica sul rapporto tra i minori e il sesso. Che indaga tale universo in relazione alle nuove tecnologie.

La firma Antonio Crispino per Corriere.it, che ha incontrato alcuni giovani studenti delle scuole superiori avvezzi a riprendere performance di carattere erotico e sessuale attraverso le fotocamere integrate in cellulari e smartphone. E a riversare i filmati catturati online. C’è Andrea, 16 anni, studente presso un liceo scientifico del Nord Italia, che mostra con orgoglio i video realizzati, racconta Crispino. E usati anche come merce di scambio con i coetanei. Video hard o comunque a carattere sessuale, come il filmato in cui è protagonista una ragazzina di 14 anni che accetta di mostrare il seno ai suoi compagni di classe. O come il video in cui un’altra giovanissima simula («ma neanche tanto», scrive Crispino) sesso orale con un compagno di scuola. E non importa che in classe vi sia o meno un docente. Anche in presenza di un professore, ecco sbucare un video che riprende una ragazza intenta a compiere pratiche di natura sessuale. E poi c’è anche chi si spoglia su Skype per ricevere ricariche telefoniche. C’è una grande voglia di esporsi, di raccontarsi, di mostrarsi e di diventare protagonisti, commenta Francesco Pizzetti, presidente del Garante per la protezione dei dati personali. E con la diffusione delle nuove tecnologie, disponibili spesso a costi modesti, tutti possono raggiungere tali obiettivi. «Questi ragazzi non conoscono i rischi rilevanti di un comportamento del genere», prosegue il Garante per la Privacy. Perché forse non hanno consapevolezza che questi video potrebbero un giorno finire sotto gli occhi di un padre, di una madre, di un fratello o di una sorella, di un datore di lavoro, di un fidanzato o di una fidanzata. Perché forse non sanno che è di fatto pressoché impossibile eliminare un documento dalla Rete. E perché, inoltre, sono atti che possono avere conseguenze di carattere giuridico, «perché la pubblicazione sul web del video della compagna di classe può integrare reati di pornografia, di corruzione di minore, etc, ai quali si va a rispondere in Procura».

Fonte: Webmasterpoint - Autore: Adnrea Galassi

Fotografia: Pubblicazione di foto su internet e consenso

Oggi invece parliamo del caso in cui qualcuno pubblichi, senza il nostro consenso, una foto che ci rappresenti. Partiamo dal principio base per cui pubblicare un'immagine senza il consenso dell'interessato o di chi ne ha i diritti costituisce un illecito. E ciò vale anche nel caso in cui il soggetto fotografato si sia lasciato, consapevolmente, ritrarre nella foto. Infatti, il semplice consenso allo "scatto" non implica anche il consenso alla pubblicazione.

La stessa amministrazione di Facebook, al momento del caricamento di immagini, chiede espressamente che le foto siano in legale possesso di chi le pubblica. La Cassazione (sent. 19/06/2008, n. 30664) ha poi specificato che il consenso prestato a essere ritratti in fotografia non vale come scriminante quando l'immagine è pubblicata in un contesto diverso da quello originario, se ciò implica valutazioni negative sulla persona effigiata. In forza di ciò, la Corte ha condannato un giornale che aveva pubblicato, in prima pagina, la foto di una bimba in compagnia di un gatto, a corredo di un articolo dedicato all'iniziativa di un ospedale per la pet therapy (il programma sanitario che prevede la partecipazione di un animale domestico per stimolare persone con handicap). In quel contesto, l'immagine lasciava intendere che la minore fosse in trattamento per curare l'autismo o un ritardo psicomotorio, trattandosi pertanto di un accostamento fuorviante oltre che indebito. Ognuno di noi gestisce come meglio crede la propria immagine: può concedere il permesso, concederlo solo parzialmente (per es. permettendo la pubblicazione dell'immagine solo in siti specifici) o negarlo. Inoltre, il consenso già rilasciato in precedenza può essere, in qualsiasi momento, revocato in tutto o in parte. Una recente decisione della Cassazione (sent. 16 maggio 2008, n.12433) ha stabilito che l'illecita pubblicazione dell'immagine altrui obbliga l'autore al risarcimento dei danni non patrimoniali e, se esistenti, di quelli patrimoniali, i quali ultimi consistono nel pregiudizio economico che la vittima abbia risentito dalla pubblicazione e di cui abbia fornito la prova in sede processuale. In ogni caso, qualora non possano essere dimostrate specifiche voci di danno patrimoniale, la parte lesa può pretendere l'equivalente di quanto avrebbe guadagnato se avesse venduto la foto. Ci si riferisce, ovviamente, in questo caso, all'ipotesi di pubblicazione d'immagine economicamente valutabile, quella, cioè, che ritragga una persona famosa e sia stata utilizzata per fini commerciali o anche vagamente promozionali. Quando invece la foto non abbia valore commerciale perché ritrae una persona comune, allora si avrà comunque diritto al risarcimento del danno non patrimoniale (quello esistenziale, cioè, e/o quello morale che reputi – e provi – di aver subìto). Chi vede pubblicare la propria immagine senza consenso potrà, prima di adire le vie legali, imporre la cancellazione della stessa all'illegittimo utilizzatore. Eventualmente potrà chiederne la cancellazione anche alla piattaforma su cui l'immagine risulti pubblicata. Il decreto legislativo sul commercio elettronico (D.lgs. n. 70/2003), infatti, stabilisce che il gestore del sito risponde delle eventuali lesioni contestategli dai soggetti lesi da terzi. A riprova di ciò, la legge sulla privacy riconosce il diritto di chiedere in qualsiasi momento la cancellazione dei propri dati personali (tra cui rientrano ovviamente anche le fotografie. Oltre a ciò, poi, v'è ovviamente la possibilità di adire il giudice penale, se la condotta illecita si concretizzi in un distorto utilizzo dell'immagine altrui e comporti una lesione della reputazione. Secondo l'art. 615bis del codice penale, infatti "chiunque, con l'uso di strumenti di ripresa visiva o sonora, si procuri indebitamente notizie o immagini relative alla vita privata nell'abitazione (o altro luogo privato)", deve essere punito con la reclusione da sei mesi a quattro anni. Ecco perché condividere foto su Facebook può essere un'attività assai compromettente. Una semplice svista o disattenzione può portare a conseguenze spesso non considerate, ma per certo non irrilevanti. Soprattutto laddove si tratti di pubblicazione di fotografie che ritraggano minorenni, la cui riservatezza va tutelata in maniera particolare. Lo ha confermato la Cassazione penale, che ha punito colui che pubblica su Facebook le generalità e le foto del battesimo di un infante/minore, senza il preventivo consenso dei genitori del neonato o minore. Esistono comunque delle eccezioni alle ferree regole sopra elencate. La principale riguarda i personaggi pubblici: riprendere un cantante durante una sua esibizione, un calciatore allo stadio o un politico in un comizio non richiede il consenso dell'interessato, sempre che ciò non comporti una lesione dell'onore o della reputazione della persona ripresa. L'altra, invece, prevede il caso in cui, durante una partita o un concerto, sia stata fotografata la situazione globalmente considerata: neppure in questo caso sarà necessario che il fotografo richieda l'autorizzazione alla pubblicazione a tutte le persone "accidentalmente" finite nell'obiettivo. La regola generale prescrive, infatti, che non serve il consenso di chi si trovi in luogo pubblico o durante una pubblica manifestazione. Il consigli del legale è dunque quello di chiedere sempre il consenso del diretto interessato prima della pubblicazione del suo volto ritratto in fotografia. Tale consenso è meglio se fornito per iscritto e poi scrupolosamente conservato. Ricordate, a riguardo, che le email non hanno, nel nostro ordinamento, valore di prova scritta. Pertanto, per stare sicuri, bisognerebbe ottenere una liberatoria firmata su un foglio di carta. Situazione paradossale tra amici, ma che vi consentirebbe di dormire sogni tranquilli. Anche le migliori amicizie o parentele possono sfaldarsi.

Fonte: Loudvision.it - Autore: Studio Legale Greco

Insegna a tuo figlio il valore della privacy (anziché spiarlo)

Il furto di identità contro i minori è un fenomeno più diffuso di quanto si pensi e che genera una certa preoccupazione. I genitori vorrebbero tenere sotto osservazione i propri figli e seguire i loro movimenti, ma non si può violare la loro privacy e il loro mondo. E allora? Come ci si comporta?

Abbiamo fatto alcune ricerche da diverse fonti su Facebook, ma anche siti di enti stranieri. Le abbiamo raccolte per suggerirvi riflessioni e comportamenti da adottare in caso di figli incollati ai social network, nulla di complicato. Vediamoli insieme.

I minori sono i veri esperti di nuove tecnologie

Per iniziare dobbiamo capire che i più giovani, soprattutto i cosiddetti nativi digitali, hanno una capacità di decodifica delle dinamiche presenti sui new media maggiore di noi adulti. A differenza nostra sono nati con il computer e, spesso, con meno TV di quanta ne abbiano vista i genitori. Imparano immediatamente a riconoscere e interagire con persone attraverso un monitor e sono ben consapevoli del fatto che dall’altra parte ci può essere un malintenzionato.

Cosa fare come genitori

I genitori hanno dei doveri rispetto ai propri figli e non basta invocare il rispetto della loro privacy o la mancanza di tempo materiale per lasciarli a loro stessi di fronte a un computer: se non ci pensiamo noi alla loro privacy ci potrebbe pensare qualcun altro… Quindi prima di tutto bisogna studiare, aggiornarsi e utilizzare i social network proprio come loro (il primo risultato, da non sottovalutare, sarà quello di non farsi prendere in giro, guadagnandoci il loro rispetto anche in ambito tecnologico).

Inoltre bisognerebbe evitare che i bambini si creino una propria casella email e fare in modo che utilizzino il computer di famiglia, in salotto, con un accesso condiviso e pochi segreti, anziché isolarsi nella loro cameretta.

Infine, e più importante, cercate di passare più tempo con loro di fronte al computer. Potrà sembrare strano perché la maggior parte dei genitori spende il tempo con i figli per uscire com’è giusto che sia, però condividere l’esperienza della navigazione web insieme serve a conoscere le loro abitudini e a condividere con loro alcuni consigli…

I consigli dei genitori ai propri figli per navigare in sicurezza

Caro figlio/a,

la sera torna in orario, rifiuta le caramelle dagli sconosciuti, e quando navighi online:

1. non dare mai informazioni personali su di te: cognome, dove vivi, numero di telefono, e non scrivere queste informazioni sul tuo profilo Facebook (anche se il tuo profilo è chiuso, un tuo contatto potrebbe visualizzare certe informazioni);
2. se vuoi incontrare dal vero una persona conosciuta online dillo ai tuoi genitori o, perlomeno, ad amici fidati. Fai sapere a qualcuno dove hai l’appuntamento e quando, in più portati il cellulare carico (di credito e di batteria) con te. Ricorda di incontrare questa persona in un luogo pubblico e frequentato. Meglio ancora: chiedi a un amico/a di accompagnarti all’appuntamento;
3. non iscriverti ad alcun sito web prima di avere 13 anni compiuti e rispetta sempre l’età minima richiesta dal sito.

Fonte: Il Blog di MisterCredit

Hard disk dati e privacy

Eliminare in modo sicuro i dati dagli hard disk, per disfarsene nel rispetto della legge sulla privacy

Una delle domande di chi tratta informazioni personali sensibili o di chi vuole proteggere la propria privacy , è come fare in modo da eliminare in modo sicuro le informazioni presenti sugli hardisk, in modo che non possano essere recuperati poiché l’eliminazione dei file adottata dai sistemi operativi è solo una cancellazione di tipo logico e non una vera distruzione del dato in memoria .

In un precedente articolo eliminazione sicura delle informazioni si è parlato del wipe , un metodo che tramite l’utilizzo di un software elimina sovrascrivendo più volte con dati casuali i file da rimuovere. Il problema di questo metodo è che per portare a termine una cancellazione sicura occorrono svariate ore a seconda delle capacità più o meno grandi della memoria di massa ( hard disk ) e soprattutto occorre che la memoria sia funzionante in modo che il software possa leggerla ed operare la sovrascrittura casuale dei dati.

In un provvedimento del 2008, il garante della privacy obbliga chi deve disfarsi di dispositivi di memoria di massa che contengono informazioni sensibili , ad eliminare in modo sicuro queste informazioni (rif. Garante Privacy)

In particolare si fa riferimento a due tipologie di distruzione dei dati: quelle adatte per memorie che devono essere rivendute o comunque riutilizzate e quelle che devono essere semplicemente eliminate. Per i rifiuti informatici, cioè quelle memorie che devono essere eliminate definitivamente perché danneggiate vecchie ecc. Il garante suggerisce tre possibilità:

1. Sistemi di punzonatura o deformazione meccanica;
   Consiste nel prendere un trapano o un martello e spaccare e piegare l’harddisk. Ovviamente questo sistema è poco pratico da mettere in atto in un ufficio. La reperibilità di strumenti adatti alla distruzione, schegge e pezzi di memoria che volano con tutti i problemi di sicurezza delle persone che ne possono derivare, senza contare che la memoria di un hardisk è protetta da un involucro, molto resistente e che per ottenere un buon risultato prima bisognerebbe smontarlo in modo da poter agire direttamente sulla parte dedicata all’archiviazione dei dati.
2. Distruzione fisica o di disintegrazione;
   Questo metodo è molto adatto per dispositivi di memorizzazione, quali cd e dvd ed è realizzabile con un semplice spilla ferma carta. Si può graffiare o con un’appropriata pressione o flettendo con le due mani il cd lo si può piegare fino a romperlo stando attenti a proteggere volto e mani dalle schegge.
   
3. Demagnetizzazione ad alta intensità.
   Questo è il metodo migliore oltreché il più veloce, professionale e pulito e soprattutto non produce schegge e danni alle persone. Le macchine che permettono l’attuazione di questo metodo si chiamano Degausser. Come sapete bene, alla base della tecnologia dei floppy disk, nastri e dischi rigidi c’è il magnetismo che permette l’archiviazione dei dati. Il lavoro dei Degausser consiste nel sottoporre hard disk e memorie in generale ,ad un fortissimo campo Magnetico che ripulisce l’hardisk in pochissimo tempo.

Con questi sistemi ovviamente il disco rigido è reso completamente inutilizzabile, ma nel caso in cui si vuole rivendere l’hardisk su ebay o regalarlo ad un amico tutelando la nostra privacy, il Garante ci suggerisce di:

1. Utilizzare la formattazione a basso livello:
   un procedimento molto complesso è che può durare anche un intero giorno.
2. Utilizzare sistemi di wipe:
   questo metodo come detto in precedenza è efficace, ma per ottenere buoni risultati occorre che esegua molte sovrascritture quindi a tempi veramente lunghi dipendenti principalmente dalla dimensione degli hardisk e dalla loro velocità di scrittura.

Per portare a termine una cancellazione sicura dei dati in tempi molto brevi, in commercio si possono trovare dei dispositivi come quelli realizzati dalla Multinazionale Martin Yale.

Il prodotto in questione, si chiama INTIMUS® Hammer SE e tra le sue caratteristiche annovera la tecnologia “Secure Erase” approvata dal NIST (National Institute of Science and Technology): "SE" sta per Secure Erase, una funzione di comando inserita all'interno della maggior parte delle unità hard disk incorporato dal 2003 (alcune costruite dal 1999). Secure Erase rispetta gli standard del NIST per una cancellazione sicura dei dati, inoltre consente agli hard disk di essere riutilizzati o venduti.

Il punto di forza di Intimus® Hammer SE, è la sua velocità … può cancellare fino a 4 hard disk in una sola volta, con una velocità di cancellazione di 4,0 GB al minuto. Praticamente in 1/18 del tempo rispetto agli standard software di sovrascrittura, che spesso richiedono molteplici passaggi per poi ottenere un risultato meno preciso. Tra l’altro la Cancellazione è verificabile, la macchina, infatti, fornisce un sistema di conferma ed una certificazione per dimostrare che gli Hard Disk sono stati cancellati con successo.

Anche la smagnetizzazione è un processo molto veloce (il ciclo di lavoro e di solo 12 secondi per hard disk), che porta alla distruzione fisica della memoria e quindi alla non riutilizzazione degli stessi. Secure Erase invece, permette di epurare completamente le unità hard disk e di essere poi, riutilizzate o vendute con il conseguente risparmio. In definitiva, l’operazione di degaussing (smagnetizzazione) è consigliata per coloro i quali hanno bisogno di dismettere unitá hard disk arrivate alla fine del loro ciclo di vita, mentre l’HAMMER è consigliato per tutti quelli che hanno unitá hard disk ancora in buone condizione e che vorrebbero mettere sul mercato dell’usato, riutilizzare o regalare senza rischiare di contravvenire la legge sulla privacy 196/2003

Entrambi i dispositivi (Hammer e Degausser) sono prodotti da Martin Yale , una multinazionale americana creatrice di soluzioni per la difesa della privacy ad alte prestazioni. Intimus® by Martin Yale è un marchio conosciuto in tutto il mondo per le sue pratiche affidabili, efficienti e ben congeniate macchine per la salvaguardia della privacy.
Fonte: NoTrace.it

I servizi cloud: profili legali e contrattuali

Inizia dalle recenti dichiarazioni del Garante della Privacy Gabriele Faggioli, legale e partner di Isl Consulting, per cercare di delineare, nel corso di una delle riunioni del Gruppo di Lavoro dedicato al cloud computing e software as a service del Club TI (Club per le Tecnologie dell'Informazione, fondato nel 1987, è una libera e spontanea associazione di professionisti dell'Ict), gli attuali profili legali e contrattuali del cloud computing. “Investigatori privati, banche e cloud computing sono oggetto del piano ispettivo varato dal Garante per il primo semestre 2011 - osserva Faggioli, ricordando che lo scorso anno sono state applicate sanzioni per circa 3 milioni e 800 mila euro -. L'attività di accertamento del Garante per la Privacy si concentrerà su questi settori e sulle modalità con le quali vengono trattati i dati personali di milioni di cittadini italiani”. Il piano ispettivo appena varato prevede specifici controlli, sia nel settore pubblico sia in quello privato, anche riguardo alle informazioni da fornire ai cittadini sull'uso dei loro dati personali, all'adozione delle misure di sicurezza, alla durata di conservazione dei dati, al consenso da richiedere nei casi previsti dalla legge, all'obbligo di notificazione al Garante. E per sottolineare quanto sia effettivamente tangibile l’operato del Garante, Faggioli riporta alcuni significativi dati: “Un primo bilancio sull'attività ispettiva relativa al 2010 mostra il lavoro di controllo svolto dall'Autorità: sono state circa 474 le ispezioni effettuate e 424 i procedimenti sanzionatori, relativi in larga parte alla omessa informativa, al trattamento illecito dei dati, alla mancata adozione di misure di sicurezza, all' inosservanza dei provvedimenti”. Complessivamente le entrate derivanti dalle sanzioni sono state pari a circa 3 milioni e 800 mila euro: in particolare, 2 milioni relativi alle violazioni degli obblighi sull'informativa, 800 mila relativi al trattamento illecito di dati e 450 mila relativi alla mancata adozione delle misure di sicurezza da parte di aziende e pubbliche amministrazioni. Il motivo per cui Faggioli ha voluto dare evidenza a questi numeri è “far comprendere l’importanza degli aspetti legali/contrattuali di un qualsiasi progetto It, che dovrebbero essere valutati e considerati fin dalle primissime fasi di analisi. Ad esempio – prosegue il consulente – nell’indagine preliminare di un progetto It vi sono impatti legali immediati che possono essere la verifica della conformità alle norme di legge del progetto ipotizzato o della coerenza con le procedure aziendali e i regolamenti interni. Nella fase immediatamente successiva alla definizione degli obiettivi e delle specifiche funzionali del progetto It corrispondono attività e impatti legali come quelle di valutazione del livello di determinatezza dell’oggetto del contratto e i rischi ad esso correlati, nonché la progettazione delle prime tutele relative all’impostazione macro dei rapporti con i fornitori”. Tutti aspetti che dovrebbero essere presi in considerazione molto prima della stesura del contratto perché, precisa Faggioli, “non sempre è facile negoziare con i fornitori, soprattutto quando si sono già avviate le prime fasi di relazione”.

Rapporti chiari e legalmente garantiti

E se questo vale in linea generale, ancor di più ha senso adottare una strategia collaborativa tra dipartimenti (It, Legale, top management, Cfo, risorse umane, ecc.), quando il progetto It prevede l’adozione di soluzioni e servizi di nuova generazione che non trovano ancora un’adeguata regolamentazione normativa, come nel caso del cloud computing. “La contrattualistica sottesa a un progetto di sviluppo di un sistema informativo (e successiva gestione) tipicamente si compone di tutti o di alcuni dei seguenti contratti: contratto di licenza d’uso software; di manutenzione delle licenze; di “approvvigionamento” hardware; di implementazione (installazione, parametrizzazione, personalizzazione); di assistenza e manutenzione; eventuale contratto di outsourcing”, descrive Faggioli. “In tutte queste forme contrattuali, interessi dell’azienda e del provider si contrappongono. Le aziende hanno interesse ad avere un contratto unico che riunisca in un solo accordo complessivo tutte le singole prestazioni contrattuali (licenza, gestione, servizi, ecc.), mentre i provider tendono a suddividere il più possibile le proprie obbligazioni in diversi contratti non collegati. Dal punto di vista degli obblighi delle parti, le aziende preferiscono contratti legati a obbligazioni di risultato (attraverso le quali, cioè, il fornitore garantisce il risultato dell’operazione o del servizio), mentre i provider optano per le obbligazioni di mezzi (cioè si impegnano a garantire tutti i mezzi necessari per un determinato obiettivo, ma senza garantirne il risultato a priori). Questo vale soprattutto per i contratti di implementazione o di servizi, dato che il contratto di licenza d’uso, tipicamente, si basa su una contrattualistica standard tendenzialmente estremamente rigida e poco negoziabile”, aggiunge l’avvocato. I contratti di implementazione, servizi di gestione/manutenziuone, outsourcing, possono essere ricondotti ai cosiddetti contratti d’appalto (Art. 1655 del codice civile: l’appalto è il contratto con il quale una parte assume, con organizzazione dei mezzi necessari e con gestione a proprio rischio, il compimento di un’opera o di un servizio verso un corrispettivo in denaro). “In questi contratti l’interesse delle parti è contrapposto in relazione alla natura dell’obbligazione sottostante (mezzi/risultato) - precisa Faggioli -. In un contratto di implementazione, l’azienda è interessata ad ancorare la liberazione del fornitore dalle sue obbligazioni al momento del buon fine del collaudo finale o addirittura del go-live o della conclusione degli eventuali roll-out; il provider, invece, ha interesse a prolungare la relazione. I contratti di manutenzione/gestione o di outsourcing – aggiunge l’avvocato – rientrano anch’essi nel contratto di appalto; si tratta di contratti di appalto di servizi, in questo caso con obbligazione di risultato (che in termini informatici si traduce in Sla, Service Level Agreement)”.

Cloud computing: attenzione ai rischi dovuti all’indeterminatezza di alcune aree

“Ciò che va comunque ben evidenziato è il fatto che, trattandosi di accordi tra due forze contrapposte, solitamente sono contratti stipulati ad hoc, molto personalizzati o personalizzabili (motivo per cui serve sempre l’aiuto del legale), con aree che rischiano anche di essere indeterminate soprattutto nelle fasi iniziali”, specifica Faggioli. Ed è questo l’elemento di maggior distinguo rispetto ai contratti applicabili al modello del cloud computing.

Da un punto di vista normativo, infatti, la fornitura di servizi di public cloud, rientrerebbe nella casistica dei contratti di appalto di servizi con obbligazione di risultato (il risultato è il livello di servizio garantito dal service provider). Tuttavia, si discosta dai modelli classici per i seguenti motivi:

1) assenza o valenza estremamente limitata della componente contrattuale “licenza d’uso” (tendenzialmente, NON si tratta di contratti di licenza d’uso in quanto il prodotto It - infrastruttura, piattaforma o software - “utilizzato” dal cliente non viene consegnato);
2) assenza o valenza limitata della componente “implementazione” (al limite necessaria una fase di start-up);
3) tendenziale omnicomprensività della prestazione in un contratto unico;

4) tendenziale standardizzazione della contrattualistica;

5) tendenziale rigidità in relazione a possibili “personalizzazioni del servizio” (per non fare venire meno il vantaggio competitivo offerto dall’economia di scala che permette il servizio);

6) contrattualistica (e servizio) modellato dal fornitore (quindi con obbligo del cliente a sposare il modello del fornitore). “Le problematiche maggiori, però sono legate all’applicazione delle normative in materia di sicurezza dei dati personali e trasferimento dei dati all’estero per il basso potere di controllo che è possibile effettuare”, evidenzia Faggioli. “I riflettori vanno quindi puntanti sull’individuazione delle responsabilità e sulla profilazione degli utenti, a partire dagli amministratori di sistema (in caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema), ma questa potrebbe diventare un’operazione molto complicata quando i servizi vengono erogati da diversi data center situati in geografie distribuite e da persone diverse”. La difficoltà di definire appieno, anche sotto il profilo legale, il rapporto tra vendor e aziende utenti, attraverso il cloud, vive, dunque, un’ulteriore scossa. Fiducia e flessibilità sono i due pilastri su cui dovrebbe basarsi il rapporto erogazione/fruizione dei servizi ma, di fatto, sono proprio questi ad essere fonte di maggior preoccupazione per le aziende. La scarsa personalizzazione dei servizi in the cloud, poi, aumenta il timore di perdere il vantaggio competitivo. È evidente, quindi, che il passaggio a scenari di massima flessibilità con sistemi It fortemente basati sul cloud computing avverrà con molta gradualità. Ad oggi, possiamo dire che non esistono regole standard per risolvere le problematiche legate al rapporto tra le aziende e i “nuovi” service provider (sia di natura contrattuale sia tecnologica, per l’integrazione e l’interoperabilità dei sistemi). È dunque chiaro che ogni azienda deve trovare la propria strada, magari procedendo per gradi e sperimentando servizi cloud su tecnologie non core o comunque non di impatto diretto sulle dinamiche e i processi del business; sperimentazione che non deve limitarsi agli aspetti tecnologici ma “fare da palestra” anche per le questioni legali e contrattuali, in modo da avere le competenze necessarie al governo di progetti via via più complessi.

Fonte: ZerounoWeb - Autore: Nicoletta Boldrini