privacy

Altro che Facebook, la vera minaccia per la tutela dei nostri dati sono i siti web dello Stato italiano! Cinquantaquattro compagnie che si occupano di pubblicità online hanno infatti accesso ai dati di quanti utilizzano le pagine web di strutture pubbliche, dal Ministero dell’Economia e Finanze al Comune di Milano. A segnalare il pericolo, che rappresenta anche una violazione del regolamento europeo sulla tutela dei dati personali Gdpr, è l’azienda danese Cybot che ha passato in rassegna pagine web di 22 siti della pubblica amministrazione italiana. La strutturazione di tali siti, secondo l’indagine, è stata fatta con estrema imperizia: nel cercare di facilitare la navigazione all’utente si sono lasciate aperte possibilità di accesso che non dovrebbero esserci e che risultano ignote (o ignorate) agli enti a cui i siti fanno capo. Agenzia delle Dogane e dei Monopoli e Agenda Digitale risultano di contro siti che tutelano pienamente la privacy di chi vi accede.

La notizia sarà probabilmente sfuggita ai più ma nei giorni scorsi, a Roma, ancora a Roma, si è annotato un episodio particolarmente grave: sono state intercettate conversazioni telefoniche di un avvocato in spregio del diritto assoluto alla riservatezza che assiste il rapporto tra il professionista e il cliente. Tranne che non siano presunti complici…ma non è questo il caso.

La regola vuole che in queste situazioni gli addetti all’ascolto interrompano la captazione e che quanto eventualmente già registrato sia espunto dagli atti di indagine e – comunque – non sia utilizzabile. Invece, no: si è andati avanti e senza porsi alcun problema e, anzi, le conversazioni sono state trascritte e per non farsi mancare nulla anche commentate in una informativa finale della Polizia Giudiziaria che ha persino offerto considerazioni opinando che, in quei colloqui, l’indagato apparisse preoccupato.

La dinamica delle intercettazioni vuole che le stesse – salvo deroghe autorizzate da un giudice – siano eseguite presso gli impianti in dotazione alle singole Procure e presso di esse installati: ciò per assicurare una più agevole supervisione da parte dell’Autorità Giudiziaria di un metodo di indagine tecnica molto invasivo al fine di evitarne abusi. Autorità Giudiziaria, il Pubblico Ministero nello specifico, che poi riceve costanti aggiornamenti dagli agenti sull’esito degli ascolti, i brogliacci, le annotazioni di servizio; Autorità Giudiziaria che in questo caso (purtroppo non è l’unico divenuto noto) si è serenamente disinteressata di arginare una gravissima violazione del codice di procedura e del diritto di difesa come postulato dalla Costituzione.

Sarà perché ormai dobbiamo considerarci tutti, in qualche modo, sotto intercettazione e, perciò, sfuma il disvalore dell’invasione nella sfera privata? Telecamere, carte di credito, bancomat, palmari, navigatori, telepass, persino le carte fedeltà dei supermercati tracciano ormai ogni momento della quotidianità e raccontano dove si è stati, cosa ci piace, cosa si è fatto, con chi e per quanto tempo. Tuttavia, se c’è un presidio rigoroso a garanzia di un diritto così sensibile come quello di difesa, la indifferenza di chi dovrebbe assicurarne il rispetto allarma e – senza dimenticare che sono moltissimi coloro che svolgono le loro funzioni con lealtà, competenza e impegno – contribuisce ad un calo di fiducia nella Magistratura.

Sono passati i tempi degli striscioni che, per le strade di Milano, inneggiavano a Di Pietro e anche L’Italia dei Valori, figlia di quel consenso, sembra essersi disciolta.

Un recente sondaggio Ipsos rileva che a seguito della vicenda Palamara/CSM solo un italiano su tre (35%) dichiara di aver fiducia nella Magistratura mentre il 55% non ne ha: escludendo coloro che non esprimono un giudizio è il valore più basso di sempre.

In un sistema che, come ricorda il titolo di questa rubrica, non garantisce certo il massimo dell’efficienza non si sentiva certo il bisogno di un danno reputazionale che investe l’intero settore compromettendone la credibilità e alimentando per il futuro il dubbio che le regole siano fatte per essere infrante o che una qualsiasi inchiesta o sentenza che coinvolga uno o più politici possa essere considerata dall’opinione pubblica come frutto di un conflitto tra poteri dello Stato.

Insomma, ci mancava solo che l’attesa di Giustizia si trasformasse, potenzialmente, in attesa di ingiustizia.

Per richiedere un visto per gli Stati Uniti si dovranno indicare anche i propri profili social indicando i nomi utente usati sui social network, gli indirizzi email e i numeri di telefono. Il Dipartimento di Stato americano ritiene infatti queste informazioni importanti per «rafforzare il processo di controllo delle richieste e la conferma della loro identità», al fine di garantire «la sicurezza nazionale». Ergo: i richiedenti un visto inoltre dovranno indicare non soltanto i social network attivamente usati al momento di compilare il modulo, ma fornire una panoramica completa di tutti i social media adoperati negli ultimi 5 anni.

La decisione del Dipartimento di Stato, preannunciata da tempo, non è stata accolta pacificamente, soprattutto dai paladini della privacy: molte associazioni per i diritti civili hanno già elevato le loro proteste, sostenendo che tutto ciò non risolverà alcun problema di sicurezza ma fornirà soltanto una scusa al governo americano per curiosare più a fondo nelle vite dei viaggiatori, in barba Primo Emendamento alla Costituzione USA.

L’Italia, insieme alla Grecia e al Belgio, è tra i Paesi della Ue dove si registra minor consapevolezza sull’esistenza del Regolamento generale della protezione dei dati personali (Gdpr), peggio fa solo la Francia. Emerge da un Eurobarometro diffuso dalla Commissione europea, in occasione dell’anniversario dell’entrata in vigore del Regolamento generale della protezione dei dati (Gdpr). Secondo il rilevamento i Paesi dove i cittadini sono più informati sono Svezia (90%); Olanda (87%); Polonia (86%); Cechia (85%) e Slovacchia (83%). Nella parte finale della graduatoria si trovano invece: Grecia e Cipro (58% ciascuno); Belgio (53%); Italia (49%); e Francia (44%). Dallo studio emerge inoltre che il 57% degli europei è a conoscenza che nel proprio Paese c’è un’Autorità responsabile per la protezione i loro diritti sui dati personali: il 20% in più rispetto a febbraio 2015.

Più consapevolezza tra i cittadini «è un segnale molto incoraggiante. Quasi sei persone su 10 sanno che esiste un’autorità per la protezione dei dati personali nel loro Paese. E’ un aumento significativo rispetto al 2015, quando erano 4 persone su 10. Il Gdpr fornisce alle autorità gli strumenti per combattere le violazioni. In un anno, il neo-costituito comitato europeo per la protezione dei dati ha registrato oltre 400 casi transfrontalieri in Europa. E questo conferma il vantaggio supplementare offerto dal regolamento, poiché la protezione dei dati non si ferma ai confini nazionali», hanno sottolineato in una dichiarazione congiunta il vicepresidente della Commissione europea al Mercato unico digitale Andrus Ansip e la responsabile della Giustizia Vera Jourová.

Non è un magistrato e origlia le conversazioni domestiche senza bisogno né di imputazioni né di autorizzazioni a intercettare, ma Alexa, l’assistente domestico di Amazon può essere controllato o escluso, di modo da sapere cosa abbia registrato o da impedire del tutto le registrazioni. Per verificare le registrazioni effettuate e/o per cancellarle basta utilizzare l’app di Alexa o accedere alla pagina web www.amazon.it/alexaprivacy, scegliendo la voce impostazione e poi Account Alexa e infine Privacy Alexa. Per impedire ad Alexa di effettuare registrazioni (che poi possono essere ascoltate dai dipendenti di Amazon), basta cercare la voce Account Alexa, poi Privacy Alexa, poi Gestisci il modo in cui i tuoi dati migliorano Alexa ed infine disattivate il pulsante accanto ad Aiuta a sviluppare nuove funzionalità. Naturalmente è anche possibile farsi registrare apposta, per fare  scherzi o dispetti, magari nel bel mezzo di attività ludiche e rilassanti, così da far ‘rosicare’ chi in Amazon è al lavoro ed è in ascolto di quanto Alexa registra e trasmette.

E’ finito nelle rete degli investigatori ed è stato arrestato il 24enne hacker che  è riuscito ad accedere nei server di ItaliaOnline rubando i dati di 1,4 milioni di utenti dei servizi mail Libero e Virgilio: è un giovane studente di Giurisprudenza che voleva ottenere la ricca ricompensa in Bitcoin promessa da un canale Telegram. L’hacker si era recato presso la sede di ItaliaOnLine ad Assago e tramite un portatile e una antenna capace di agganciare il Wi-Fi di ItaliaOnLine, una volta ottenuti i privilegi per il download è riuscito a trafugare i dati sensibili per i quali era stata promessa la ricompensa.

Per gli utenti dei servizi che sono stati penetrati il consiglio è quello di cambiare la password utilizzata per il servizio mail, soprattutto ove utilizzino la stessa password per altri servizi (carte di credito anzitutto). Italiaonline ha fatto sapere che «allo stato, non ci sono utenti che abbiano segnalato accessi indesiderati alla propria posta» ma comunque ha notificato a tutti quelli coinvolti di procedere al cambio delle password delle mail. Il Garante della privacy ha provveduto, come prevede il nuovo regolamento UE, a effettuare una ispezione presso la sede dell’azienda che ha subito l’attacco.

Autorità Garante e Servizi segreti hanno sottoscritto un nuovo protocollo, in linea con il nuovo Regolamento europeo sulla protezione dei dati personali, per la protezione dei dati personali nelle attività di sicurezza cibernetica. Il presidente dell’Autorità Garante, Antonello Soro, e il direttore generale del Dipartimento delle informazioni per la sicurezza (DIS), Gennaro Vecchione, hanno così  rilanciato le linee dell’intesa istituzionale avviate nel 2013 e da ultimo rinnovate nel 2017.

Il documento, revisionato per consentire l’adeguamento al nuovo regolamento europeo sulla protezione dei dati personali (GDPR) e al decreto legislativo 18 maggio 2018 n.51, c.d. direttiva “law enforcement”, ha confermato quanto già in essere circa la cornice di garanzie poste a presidio del trattamento dei dati personali effettuato dagli Organismi di informazione per la sicurezza.

La nuova versione del protocollo assicurerà agevoli interlocuzioni tra le due istituzioni attraverso lo scambio di informazioni e la promozione di buone pratiche di sicurezza cibernetica, frutto delle reciproche collaborazioni con il mondo accademico e della ricerca.

A tal scopo, il Garante inoltrerà all’organismo informativo le notizie di data breach rilevanti ai fini della sicurezza cibernetica, ricevute dai soggetti tenuti alla notifica in caso di violazione dei dati personali. Tale condivisione andrà a vantaggio anche delle attività del Nucleo per la Sicurezza Cibernetica – organo interministeriale istituito in seno al DIS dal DPCM del 17 febbraio 2017 – deputato alla prevenzione, preparazione, risposta e ripristino a situazioni di crisi nazionali nel dominio cyber.

Il protocollo avrà durata biennale, salvo tacito rinnovo, con la possibilità per ciascuna delle parti di proporre aggiornamenti qualora le innovazioni normative e regolamentari dovessero richiederlo.

“L’intesa rinnovata oggi sottolinea l’importanza di elevare il livello di collaborazione istituzionale con concrete sinergie volte a far fronte comune alle complesse esigenze di sicurezza cibernetica nazionale. L’accordo” ha affermato il direttore generale del DIS, Gennaro Vecchione “rappresenta un salto di qualità per le due istituzioni in quanto prevede interlocuzioni privilegiate per la condivisione delle notifiche di violazioni dei dati personali che ricadono nel Regolamento GDPR, a vantaggio del Nucleo per la Sicurezza Cibernetica, al fine di aumentare la resilienza del Sistema Paese, in un’ottica di alta salvaguardia della tutela dei diritti dei cittadini.”

“L’odierno accordo rafforza ed estende il contenuto dell’intesa istituzionale avviata sin dal 2013 con gli organismi di intelligence, inserendola nel quadro della nuova disciplina vigente, sia in materia di protezione dati che di cyber security.”, ha dichiarato il presidente dell’Autorità Garante, Antonello Soro. “La cooperazione istituzionale tra Garante e organismi si è rivelata, infatti, una straordinaria opportunità per una migliore governance del digitale, realizzando quel necessario equilibrio tra libertà e sicurezza che costituisce il fondamento primario di ogni democrazia”.

Riceviamo e pubblichiamo la risposta del Garante della Privacy, Antonello Soro, all’On. Cristiana Muscardini che con una lettera, pubblicata sul Patto Sociale lo scorso 8 gennaio e che riportiamo di seguito, chiedeva chiarimenti sull’uso inapropriato dei numeri telefonici dei cittadini fatto da certe società di vendita con ingannevoli proposte commerciali.

Prot. 2277/134084

Gent.ma Onorevole,
la problematica da Lei esposta è stata oggetto di numerosi interventi del Garante, nonché di contributi forniti al Parlamento nell’ambito di specifiche indagini conoscitive. In particolare, abbiamo rilevato come dall’analisi delle istruttorie condotte dall’Autorità emerga un intricato reticolo di interessi poco chiari e relazioni non sempre formalizzate tra committenti, agenti e innumerevoli call center, nonché il fenomeno di chiamate promozionali da numerazioni “fantasma” assegnate a soggetti non identificabili, o -a detta dei committenti- non appartenenti alla propria rete di vendita, ancorché i contatti commerciali siano attivati nel loro interesse.

A fronte di tali rilevazioni, il Garante ha suggerito talune indicazioni volte ad adeguare il quadro normativo alla complessità che caratterizza il fenomeno del telemarketing oggi, puntando soprattutto sulla responsabilizzazione dei vari soggetti coinvolti in queste articolate catene commerciali e sul rafforzamento dell’efficacia del registro delle opposizioni. Molte di queste indicazioni sono state raccolte dal Parlamento e trasfuse nella legge n. 5 del 2018, volta tra l’altro a estendere l’ambito di applicazione del registro delle opposizioni alla telefonia mobile e fissa “riservata”, nonché a chiarire che l’iscrizione nel registro stesso ha valore di revoca di tutti i consensi precedentemente espressi, con qualsiasi forma o mezzo e a qualsiasi soggetto, che autorizzano il trattamento delle proprie numerazioni telefoniche fisse o mobili. In caso di violazioni delle norme introdotte a tutela degli interessati, si applicano le sanzioni amministrative pecuniarie previste dal Gdpr, suscettibili di giungere sino a 20 milioni di euro o al 4% del fatturato.

Inoltre, la legge sancisce la responsabilità solidale di titolare e responsabile, l’ambiguità dei cui ruoli ha rappresentato sinora una delle maggiori criticità. Nelle more dell’adozione (a termini ormai ampiamente scaduti) del regolamento attuativo di questa legge, una complessiva e ulteriore responsabilizzazione dei protagonisti del trattamento potrà derivare dall’applicazione del Gdpr e, in particolare, dal principio di accountability, che ne rappresenta una delle principali caratteristiche.

Un cordiale saluto

Antonello Soro

Dott. Antonello Soro
Garante per la protezione dei dati personali
Piazza Venezia, 11
00187 Roma

Milano, 8 gennaio 2019

Egregio Garante,
nonostante la legge europea sulla protezione dei dati e nonostante la Sua attività, ogni giorno siamo tormentati non solo dalle e-mail ma dalle insistenti telefonate sui cellulari e sui telefoni di casa da fantomatici individui, quasi sempre che chiamano da fuori Italia, che ci assillano con le più svariate proposte invadendo la nostra vita già abbastanza complessa per i problemi personali e collettivi.

Le più diverse ed assillanti offerte di canoni particolari per luce, gas, telefonia, carte di credito etc, la sbiancatura di denti, di protesi, di rifacimenti estetici, di cure dimagranti nonché di offerte di giochi d’azzardo e di varie prestazioni corporali non solo ci disturbano ma rendono evidente che la normativa europea, che ha costretto decine di migliaia di associazioni, giornali, imprese a perdere tempo per applicarla verso i propri indirizzi e-mail, è stata completamente disattesa da tutti coloro che, in modo più o meno onesto, utilizzano internet per infastidire e spesso truffare, con proposte scorrette, gli utenti della rete. Il problema si aggrava quando questo assillo avviene con telefonate sui cellulari invadendo la sfera privata di cittadini che non hanno modo di difendersi neppure sabato e domenica, di sera e durante le ore del pasto. In una società così tecnologicamente avanzata quali sono gli accorgimenti che Ella intende prendere per tutelare la nostra privacy?
Grazie.

Cordialmente,
Cristiana Muscardini

Riceviamo e pubblichiamo di seguito la lettera che l’On. Cristiana Muscardini ha inviato al Garante della Privacy, Antonello Soro

Dott. Antonello Soro
Garante per la protezione dei dati personali
Piazza Venezia, 11
00187 Roma

Milano, 8 gennaio 2019

Egregio Garante,
nonostante la legge europea sulla protezione dei dati e nonostante la Sua attività, ogni giorno siamo tormentati non solo dalle e-mail ma dalle insistenti telefonate sui cellulari e sui telefoni di casa da fantomatici individui, quasi sempre che chiamano da fuori Italia, che ci assillano con le più svariate proposte invadendo la nostra vita già abbastanza complessa per i problemi personali e collettivi.

Le più diverse ed assillanti offerte di canoni particolari per luce, gas, telefonia, carte di credito etc, la sbiancatura di denti, di protesi, di rifacimenti estetici, di cure dimagranti nonché di offerte di giochi d’azzardo e di varie prestazioni corporali non solo ci disturbano ma rendono evidente che la normativa europea, che ha costretto decine di migliaia di associazioni, giornali, imprese a perdere tempo per applicarla verso i propri indirizzi e-mail, è stata completamente disattesa da tutti coloro che, in modo più o meno onesto, utilizzano internet per infastidire e spesso truffare, con proposte scorrette, gli utenti della rete. Il problema si aggrava quando questo assillo avviene con telefonate sui cellulari invadendo la sfera privata di cittadini che non hanno modo di difendersi neppure sabato e domenica, di sera e durante le ore del pasto. In una società così tecnologicamente avanzata quali sono gli accorgimenti che Ella intende prendere per tutelare la nostra privacy?

Grazie.

Cordialmente,
Cristiana Muscardini

Il Garante per la privacy ha bocciato le fatture elettroniche, la cui introduzione al posto di quelle cartacee è prevista per legge dal prossimo 1 gennaio, rilevando che troppe informazioni, non direttamente necessarie alla gestione delle fatture elettroniche, verranno archiviato dal sistema di gestione. Il Garante ha di conseguenza avvertito l’Agenzia delle entrate che il nuovo obbligo della fatturazione elettronica, così come è stato regolato, «presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali» ed ha chiesto alla medesima Agenzia di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica.

È la prima volta che il Garante esercita il nuovo potere correttivo di avvertimento, attribuito dal Regolamento europeo, attraverso un provvedimento adottato anche a seguito di alcuni reclami. Nel dettaglio il Garante ha obiettato che l’Agenzia, dopo aver recapitato le fatture attraverso il sistema di interscambio (SDI) tra gli operatori economici e i contribuenti, archivierà e utilizzerà i dati anche a fini di controllo ed archivierà non solo i dati obbligatori a fini fiscali ma anche la fattura vera e propria (che contiene informazioni di dettaglio ulteriori sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, o addirittura la descrizione delle prestazioni sanitarie o legali). Il Garante ha espresso preoccupazioni per l’accentramento di enormi masse di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.