Gestione del rischio e contromisure per tanti un obbligo ancora non rispettato

Scritto da Alfredo Visconti Presidente ANDIP

____________________________________________________

Se vogliamo ragionare di rischio informatico all’interno del trattamento dei dati personali dobbiamo partire leggendo con attenzione il Considerando 75 del GDPR che con riferimento al concetto di rischio chiarisce che: “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati“.

 

Per fortuna dal GDPR ad oggi l’analisi dei rischi aziendali è diventata una metodologia preventiva, in tutti settori, per il mantenimento ed il miglioramento delle aziende. Il Risk Management è quindi un’attività prioritaria ed imprescindibile, che in modo indissolubile unisce La tutela de dati personali e la sicurezza informatica, tanto che l’analisi dei rischi ha una priorità importantissima  per la tutela dei dati e in tale ottica e su precise indicazioni legislative del Dlgs 196/03 prima e del regolamento europeo poi (GDPR 679/2016) a cui si aggiungono   le normative ISo 27001 e ISo 3100

La ISO/IEC 27001:2013 (ISO 27001) è lo standard internazionale che descrive le best practice per un ISMS (sistema di gestione della sicurezza delle informazioni), mentre la norma ISO 31000, esplica e mette in pratica  le definizioni fondamentali del rischio e i concetti legati alla sua gestione valutando e costruendo le fasi di identificazione, analisi, valutazione e trattamento

Proviamo ad approfondire l’analisi dei rischi sui dati partendo dall’analisi di alcune minacce che saranno sicuramente fra le più conosciute, ma allo stesso tempo sono spesso anche le più sottovalutate e nello specifico individuiamo

  • Ransomware
  • Malware
  • Crittografia
  • Minacce relative alla posta elettronica
  • Minacce contro i dati
  • Minacce alla disponibilità e all’integrità
  • Disinformazione
  • Minacce involontarie
  • Attacchi alla catena di fornitura/approvvigionamenti

Come è facile intuire, tali minacce non riguardano solo la protezione dei dati personali ai fini del Regolamento UE 2016/679 (GDPR), ma anche il concetto di sicurezza delle informazioni e soprattutto di gestione dei dati di business

Per essere chiari, diretti e soprattutto risolutivi rispetto alla problematica dei rischi occorre partire nel nostro studio dagli agenti di minaccia che per noi sono le entità responsabili della minaccia; essi sono identificabili ad esempio in:

  • persone malintenzionate – agenti che operano in modo volontario
  • persone non malintenzionate – agenti che operano in modo involontario
  • infrastrutture tecnologiche
  • infrastrutture metodologiche

Essendo essi gli agenti responsabili delle minacce, per individuarli è necessario prima individuare le minacce relative.

Nasce quindi l’esigenza di correlare le minacce con gli agenti responsabili della minaccia e quindi ad esempio

Rischio         Minacce contro i dati – diffusione di dati, perdita di integrità

Agenti           persone non malintenzionate

persone malintenzionate

Solo al fine di fare un esempio non esaustivo possiamo pensare ad una banca che gestisce i dati di conto corrente, fatture, pagamenti stipendi ed altro di un determinato cliente e che deve gestire la minaccia “diffusione dei dati”. In tal caso occorrerà gestire gli agenti: persona malintenzionata[1] e persona non malintenzionata[2] .

E necessario quindi adesso controllare e studiare brevemente gli agenti di minaccia e lo scopo collegato e nello specifico del nostro esempio abbiamo le persone malintenzionate o non malintenzionate, che possiamo individuare come persone che possono essere:

  • interne all’organizzazione ad es. dipendenti
  • esterne all’organizzazione come ad es. clienti, utenti, fornitori, tecnici dell’assistenza, ;

Naturalmente come è facile intuire la gestione di questa minaccia e dei suoi agenti deve tenere nel dovuto conto che il rischio in questione può derivare da volontarietà nell’azione o da errore umano che resta comunque uno dei rischi maggiori.

Data quest’ultima affermazione possiamo dire che il rischio è l’effetto dell’incertezza sugli obiettivi.

 

Tornando a noi possiamo dire che  i rischi dei dati sono generalmente funzione di due variabili:

  1. la probabilità che questo accada
  2. la gravità del fenomeno.

 

Possiamo dare una definizione di Probabilità come segue con valori da 1 a 4:

 

Probabilità Descrizione
Trascurabile L’evento non è mai successo o la sua probabilità di manifestazione non è calcolabile nell’immediato
Moderata La probabilità che l’evento dannoso accada è nel corso del triennio ma comunque gestita
Significativa La probabilità di accadimento è molto alta sia in termini di tempo, entro l’anno, sia in termini di dati, perdita degli stessi o alterazione
Massima L’evento è da tenere strettamente sotto controllo con contromisura adeguate e verificate almeno tre volte l’anno

 

Possiamo dare una definizione di Gravità come segue, con valori da 1 a 4:

 

Gravità Descrizione
Bassa Senza conseguenza gestibili in tempi brevi e comunque recuperabile
Media Tutto è recuperabile ma deve gestire la problematica tempo per non assumere rilevanza sia in termini di tempo sia in termini di costo
Alta Causa errori ai dati ed ai software di impatto importante il ripristino non è immediato perché occorre verificare oltre i dati anche i software prima di una messa in produzione
Di impatto molto alto Se si genera questa tipologia di gravità occorre ripensare la sicurezza informatica ed agire attraverso un Vulnerability assesment ed il suo penetration test successivo ha un impatto economico molto alto ed il suo valore può aumentare se la risoluzione comporta anche, come spesso accade costi aggiuntivi in termini di implementazione tecnologica e metodologica

Naturalmente la giusta composizione di queste due tabelle genera il peso derivante dal rischio ed il suo effetto rispetto ai dati ed al business, ma al semplice calcolo matematico occorre sempre aggiungere la costante, intesa come valore numerico, relativa al tempo di ripristino ed al suo costo economico.

Tanto ciò detto in una eventuale tabella di comparazione avremmo risultati di questo tipo

Peso

Rapporti Probabilità/Gravità

 Bassa Media Alta Impatto alto
Trascurabile 1 2 3 4
Media 2 4 6 8
Significativa 3 6 9 12
Massima 4 8 12 16

Naturalmente all’aumentare del peso nella tabella dei rapporti deve corrispondere un aumento di attenzione, tempi e costi nella gestione della contromisura.

Per terminare questo discorso una volta identificato il rischio occorre trovare la contromisura necessaria e valida per impedire l’accadimento.

Il Regolamento – GDPR – in proposito è molto chiaro e specifica che prima gestire il dato, obbligo derivante dal fatto di essere titolari e/o responsabili occorre individuare e verificare che il trattamento abbia un rischio residuale basso, portandoci cosi nel concetto privacy by design spiegandoci che a fronte di un rischio dobbiamo essere proattivi e valutare in anticipo i rischi determinando al contromisura

E’ quindi subito evidente che per ogni rischio dobbiamo aver assolutamente verificato, completato e verificato i seguenti 4 punti

  1. Effettuato una valutazione del rischio
  2. Determinato l’impatto del rischio come peso
  3. Individuato la contromisura
  4. Inserito questo rischi nel registro del trattamento

 

 

[1] Fornitore infedele che avendo accesso ai dati non controllato o controllato male preleva e diffonde i dati probabilmente a scopro di lucro

[2] Lo stesso dipendente della banca che tramite operazioni errate, compiute in buona fede, ma in modo negligente, diffonde i dati.

 

/da

Il registro delle opposizione, cosa cambia?

di Alfredo Visconti Presidente ANDIP

________________________________________

 

Il registro delle opposizione, cosa cambia?

Quasi nulla se poi non si fanno i controlli, comunque …..

il Consiglio dei Ministri ha approvato le modifiche al Registro Pubblico delle strumento che dovrebbe salvarci dalle estenuanti e continue telefonate di fatidici call center che naturalmente si presentano sempre in modo anonimo, spesso truffaldino e mai cin chiarezza sulle offerte. Continua a leggere

/da

L’elaborazione dei dati acquisiti tramite dispositivi video: le linee guida europee

Dell’avv. Cristina MAntelli

_________________________________________

È innegabile che l’odierno uso intensivo di dispositivi video ha un impatto sul comportamento dei cittadini; inevitabilmente, quindi, le implicazioni sulla protezione dei dati sono enormi. La quantità di dati generati dai video, combinata con le innovative tecniche, ne aumenta fra l’altro i rischi di un uso non correlato o improprio.

Il 29 gennaio 2020 è stata adottata, dopo la consultazione pubblica, la versione definitiva delle   nuove   Linee   Guida   in   materia   di trattamento   dei   dati   personali   tramite   l’utilizzo   di impianti di videosorveglianza (Linee Guida n.  3/2019), introdotte dal Comitato Europeo per la Protezione dei Dati (EDPB -ex Working Party Art. 29); primo documento europeo che permette di conciliare le esigenze di protezione dei dati personali dei cittadini (attraverso l’applicazione del GDPR) con quelle di una maggiore sicurezza.

Le linee guida mirano a chiarire l’applicazione al trattamento di dati personali del Regolamento europeo quando si utilizzano dispositivi video, garantendone un approccio coerente a tale riguardo. In particolare, esse prendono in esame sia i dispositivi video tradizionali che i dispositivi video intelligenti.

Prima dell’uso, le finalità del trattamento devono essere specificate in dettaglio (articolo 5, paragrafo 1, lettera b)).  La videosorveglianza, infatti, può servire a vari scopi, ad es. sostenere la protezione della proprietà e di altri beni, sostenere la protezione della vita e dell’integrità fisica delle persone, raccogliere prove per rivendicazioni civili. Questi scopi di monitoraggio devono essere documentati per iscritto (articolo 5, paragrafo 2) e devono essere specificati per ogni fotocamera di sorveglianza in uso.  Ed ancora, gli interessati devono essere informati delle finalità del trattamento in conformità con l’articolo 13 (vedere sezione 7, Trasparenza e obblighi di informazione).

Il mero scopo di “sicurezza” o “per la propria sicurezza” non è sufficiente (ex art.  5, paragrafo 1, lettera b)) ed è altresì contrario al principio secondo cui i dati personali devono essere trattati in modo lecito, equo e trasparente nei confronti dell’interessato.

Pertanto, anche in caso di videosorveglianza, il fondamento giuridico deve essere sempre individuato nell’art. 6, par.1 GDPR. In partica, le disposizioni di maggiore applicazione rappresentano: il consenso, il legittimo interesse [nell’art. 6, par.1 GDPR, lettera f)] e la necessità di svolgere un compito di pubblico interesse.

Situazioni di pericolo imminente possono costituire un interesse legittimo.

Esempio tipico e quello delle banche o negozi che vendono beni preziosi (ad esempio gioiellieri) o aree che sono note per essere scene tipiche del crimine per reati di proprietà (ad esempio stazioni di servizio).Nella maggioranza dei casi, la necessità di installare un sistema di videosorveglianza corrisponde a un’esigenza di tutela della proprietà; perciò, in linea di massima (se la videosorveglianza non si estende nemmeno parzialmente a uno spazio pubblico o proprietà vicina), il trattamento tramite video riprese effettuato nella misura in cui questo è idoneo a difendere geograficamente i confini della proprietà, rientra nei casi di esenzione.

Altri esempi di esclusione sono: un ciclista in mountain bike che vuole registrare la sua discesa con una actioncam. Sta percorrendo una zona remota e prevede solo di utilizzare le registrazioni per il suo intrattenimento personale a casa. Oppure, un turista che registra un video sia attraverso il suo telefono cellulare sia attraverso una videocamera per documentare le sue vacanze. Mostra il filmato ad amici e parenti ma non lo rende accessibile a un numero indefinito di persone.È altresì importante determinare lo scopo per cui sono state effettuate le riprese video. Poiché, nel momento in cui la trasmissione a terzi viene effettuata per scopi diversi da quelli per i quali sono stati raccolti i dati essa è possibile solo ai sensi dell’articolo 6.  Esempio: la videosorveglianza di un parcheggio è installata allo scopo di comprovare eventuali danni. Si verifica un danno e la registrazione viene trasferita a un avvocato per seguire la vicenda. In questo caso lo scopo della registrazione è lo stesso di quello del trasferimento. Viceversa, se la stessa registrazione è pubblicata online per puro divertimento, in questo caso lo scopo è cambiato e non è compatibile con quello iniziale, perciò non sarà possibile identificare una base giuridica per tale pubblicazione.Quindi il destinatario terzo dovrà effettuare la propria analisi legale, in particolare identificando la sua base giuridica ai sensi dell’articolo 6 per l’elaborazione, la ricezione e/o pubblicazione del materiale.

Giova ricordare, in ogni caso, che il Titolare del trattamento è tenuto obbligatoriamente ad operare un bilanciamento degli interessi, valutando l’effettiva necessità di ricorrere alla videosorveglianza in relazione alla finalità che intende perseguire e ai diritti degli interessati, anche alla luce dell’aspettativa degli interessati stessi (ad esempio, per l’interessato è ragionevole pensare che all’interno di una Banca vi sia un sistema di videosorveglianza; non altrettanto può dirsi nel caso dei servizi igienici, all’interno dei quali l’interessato non si aspetta di essere monitorato).

Le Linee Guida introducono inoltre la questione relativa alla divulgazione di registrazioni e riprese video, operando una distinzione tra la generica divulgazione a terzi e la divulgazione alle forze dell’ordine. Sono entrambi processi indipendenti, per le quali la base giuridica va individuata caso per caso, ma deve necessariamente essere presente.

In buona sostanza, ricorrere a questi strumenti comporta dei rischi di non poco conto sia per la loro invasività, sia per il fatto che si tratta di dispositivi elettronici, soggetti a malfunzionamenti e difficoltà di utilizzo. Ecco perché è più che mai opportuno che il responsabile del trattamento valuti con attenzione due aspetti:

  • in che misura il monitoraggio influisce sugli interessi, sui diritti fondamentali e sulle libertà delle persone;
  • se ciò causa violazioni o conseguenze negative in relazione ai diritti dell’interessato.

Pertanto, i diritti e le libertà fondamentali da un lato e gli interessi legittimi del responsabile del trattamento dall’altro devono sempre essere valutati ed equilibrati attentamente.

/da

Diritto all’oblio: la rilevanza storico-sociale dell’archivio giornalistico

In determinati casi il riconoscimento del diritto all’oblio in merito alla pubblicazione di un articolo giornalistico comporta la necessità di trovare un punto di equilibrio tra gli interessi contrapposti (quelli del titolare del sito di un archivio giornalistico e quelli del titolare del dato, non più accessibile dai comuni motori di ricerca) e dovendo considerare la permanenza dell’interesse alla conservazione del dato in ragione della rilevanza storico-sociale delle notizie di stampa, la semplice deindicizzazione dell’articolo (ed il conseguente aggiornamento dei dati) può essere ritenuta una soluzione soddisfacente.

La Corte di Cassazione, prima sez. civile, con l’ordinanza n. 7559/2020 (testo in calce) in esame ritorna sulla tematica di grande interesse del riconoscimento del diritto all’oblio con particolare riferimento al giusto contemperamento tra liceità dell’archiviazione on line di articoli giornalistici per finalità storiche con l’esigenza di garantire che i fatti narrati siano contestualizzati rispetto ai successivi sviluppi delle corrispondenti vicende.

Il fatto

Nel caso di specie, in particolare, il ricorrente non è soddisfatto della decisione del giudice di primo grado che ha imposto la sola deindicizzazione di un articolo relativo ad un proprio congiunto ritenuto lesivo dell’immagine e fuorviante, ma pretende la cancellazione di quell’articolo dall’archivio storico del giornale.

La decisione

La Suprema Corte, dopo un’attenta ed approfondita disamina della giurisprudenza in materia, respinge il ricorso e si dichiara assolutamente in linea con le argomentazioni del tribunale territoriale che esclude la violazione del diritto all’oblio sulla base di tutta una serie di argomentazioni che comportano nello specifico un bilanciamento tra i diritti del singolo e quelli della collettività.

In particolare il tribunale di Milano ritiene che una soluzione di ragionevole compromesso può essere proprio quella adottata con i provvedimenti che impongono la deindicizzazione degli articoli sui motori di ricerca generali, la cui conseguenza immediata è che l’articolo e la notizia controversa sono resi disponibili solo dall’attivazione dello specifico motore di ricerca all’interno del quotidiano. Tale semplice limitazione consente all’interessato di vedere estromesso dal dato che lo riguarda azioni di ricerca mosse da ragioni casuali o, peggio, futili. Tanto trova applicazione nell’ipotesi in cui il dato personale di cui si discute mantenga un apprezzabile interesse pubblico alla sua conoscenza, da valutarsi e da ritenersi sussistente in funzione non solo della perdurante attualità del dato di cronaca, ma anche in presenza del solo assolvimento del valore documentaristico conservativo proprio dell’archivio, sia pure integrato dagli aggiornamenti prescritti dalle Autorità intervenute in tema.

E’ fondamentale operare un bilanciamento degli interessi contrapposti – diritto al controllo del dato, diritto all’oblio del titolare dei dati personali e diritto dei cittadini ad essere informati – laddove, nel caso di specie, prevale, ex art. 21 Cost., il diritto della collettività ad essere informata con il conseguente diritto dei mezzi di comunicazione di informare in tutti ì casi in cui il dato sia trattato correttamente e permanga nel tempo l’interesse alla sua conoscenza secondo i profili indicati.

Secondo la Corte non è corretto individuare il sorgere del diritto all’oblio quale conseguenza automatica del trapasso del soggetto interessato. Allo stesso modo il mero trascorrere del tempo non comporta, ex se, il venir meno dell’interesse alla conoscenza del dato di cronaca, criterio che, se opzionato comporterebbe la non pertinenza di scopo di ogni archivio di stampa, cartaceo o informatico che sia.

L’interprete deve valutare se la compressione del diritto alla reputazione dell’interessato (definita da Cass. n. 5525 del 2012 “immagine sociale”) derivante dal perdurare del trattamento dei dati giornalistici/d’archivio comporti, in una concreta fattispecie, un sacrificio non giustificato dal corrispondente interesse alla conoscenza del dato da parte della collettività.

In altri termini, sussiste ex art. 21 Cost., un generale diritto alla conoscenza di tutto quanto in origine lecitamente veicolato al pubblico, con conseguente liceità del fine del trattamento dei dati personali contenuti in archivio; tale diritto incontra un limite, in applicazione dell’art. 11 del d.lgs. n. 196 del 2003 (l’ordinanza per ragioni di carattere temporale fa ancora riferimento alla normativa precedente) nelle fattispecie in cui la permanenza del dato nell’archivio informatico, per la sua potenziale accessibilità, non paragonabile a quella di una emeroteca, comporti un tale vulnus alla riservatezza dell’interessato da minarne in misura apprezzabile l’esplicazione dei diritti fondamentali della persona in ambito relazionale.

La Suprema Corte con riferimento al caso di specie ritiene che giustamente il tribunale milanese alla stregua dei suddetti principi, ha sottolineato che, nel caso in esame, emerge in tutta evidenza che il dato personale, derivante da attività di cronaca giudiziaria legittimamente esercitata, aveva ad oggetto l’attività imprenditoriale del defunto, azionista di riferimento di società industriali di rilievo nazionale e, in particolare, di condotte ritenute di potenziale rilievo penale, commesse al fine di mantenere/acquisire il controllo del gruppo societario. Di conseguenza nel bilanciamento dei contrapposti interessi sussiste e permane l’interesse della collettività, ed in particolare del mondo economico, di “fare memoria” di vicende rilevanti per un soggetto che si presenta come primario centro di imputazione di interessi economici considerevoli per la collettività.

In definitiva, quindi, l’avere la società editrice provveduto alla deindicizzazione ed allo spontaneo aggiornamento dell’articolo in questione è stato ritenuto dal giudice a quo come soluzione idonea a bilanciare i contrapposti interessi in gioco, conservandosi il dato pubblicato, ma rendendolo accessibile non più tramite gli usuali motori bensì, esclusivamente, dall’archivio storico del giornale ed al contempo garantendo la totale sovrapponibilità, altrimenti irrimediabilmente compromessa, fra l’archivio cartaceo e quello informatico del medesimo quotidiano, nonché il diritto della collettività a poter ricostruire le vicende che avevano riguardato il controllo dell’impresa.

Secondo la Suprema Corte le argomentazioni del tribunale territoriale sono del tutto aderenti al dettato legislativo oltre che agli orientamenti giurisprudenziali in materia (v. Cass. n. 5525/2012; Cass. n. 13161/2016) posto che ha correlato la permanenza nell’archivio storico del giornale alle particolari esigenze di carattere storico/sociale insite nelle notizie oggetto di causa.

La Corte di Cassazione ricorda, peraltro, che la protezione normativa dell’archivio giornalistico sta cominciando a formare oggetto di attenta considerazione da parte del legislatore: basti pensare a quanto sancito nel Regolamento UE n. 2016/679 in cui sono state inserite norme (art. 9, par. 2, lett. j) finalizzate alla tutela delle attività di archiviazione nel pubblico interesse di ricerca scientifica o storica o a fini statistici.

Il diritto all’oblio subisce delle limitazioni (art. 17, par. 3, lett. d) nelle ipotesi in cui il trattamento dei dati sia necessario “a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’art. 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento”. L’art. 89, infine, al paragrafo 1, prende in considerazione garanzie adeguate per i diritti e le libertà dell’interessato mediante l’adozione di misure tecniche ed organizzative che possano garantire il rispetto del principio della minimizzazione dei dati. Una parte del Regolamento (il titolo VII) è poi dedicata appositamente al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici con la finalità di garantire la conservazione di quei dati che siano decisivi per la “memoria” della società.

Conclusioni

La Suprema Corte conclude che nella fattispecie in esame la necessità di trovare un punto di equilibrio tra gli interessi contrapposti (quelli del titolare del sito dell’archivio e quelli del titolare del dato, non più accessibile dai comuni motori di ricerca) è stata ritenuta adeguatamente soddisfatta dalla deindicizzazione, unita allo spontaneo aggiornamento dei dati da parte del titolare del sito, considerata dal tribunale milanese come misura di protezione del singolo ponderata ed efficace, mentre l’intervento di rimozione sull’archivio storico informatico si sarebbe rilevata eccessiva e penalizzante così da danneggiare il punto di equilibrio degli interessi predetti. Di conseguenza, secondo la Cassazione, il giudice di merito nel considerare la permanenza dell’interesse alla conservazione del dato in ragione della rilevanza storico-sociale delle notizie di stampa, non ha violato le norme di legge anche in ragione delle cautele concretamente adottate e volte alla deindicizzazione della notizia dai siti generalisti.

/da

IMMUNI: Una app che non convince

SCRITTO DA DOTT. PROF. MICHELE IASELLI 

Riguardo le modalità di funzionamento si compone di due parti.

La prima è un sistema di tracciamento dei contatti che sfrutta la tecnologia Bluetooth. Difatti attraverso il Bluetooth è possibile rilevare la vicinanza tra due smartphone entro un metro e ripercorrere a ritroso tutti gli incontri di una persona risultata positiva al Covid-19, così da poter rintracciare e isolare i potenziali contagiati. Una volta scaricata, infatti, l’ app conserva sul dispositivo di ciascun cittadino una lista di codici identificativi anonimi di tutti gli altri dispositivi ai quali è stata vicino.

La seconda funzione di Immuni, invece, è un diario clinico contenente tutte le informazioni più rilevanti del singolo utente (sesso, età, malattie pregresse, assunzione di farmaci). Lo stesso utente dovrà avere cura di aggiornare quotidianamente il diario clinico con eventuali sintomi e dettagli sullo stato di salute. Si tratta, di fatto, di una caratteristica simile a quella già presente nell’app AllertaLOM (CercaCovid) della Regione Lombardia.

Il commissario Arcuri ha precisato che si partirà da alcune regioni pilota – ancora da definire – per poi estendere il servizio ad un’area più vasta. Si tratta di uno strumento che può essere molto utile, principalmente, per gestire in modo ottimale la famosa seconda fase dell’emergenza, ma presenta delle criticità, alcune delle quali ammesse dallo stesso commissario che rischiano di condizionarne il risultato.

Il principale limite di carattere operativo riguarda la volontarietà dell’adesione, difatti come precisato dal Comitato europeo sulla protezione dei dati personali (EDPB) e dalla stessa nostra Autorità Garante in linea di principio, i dati relativi all’ubicazione possono essere utilizzati dall’operatore solo se resi anonimi o con il consenso dei singoli. Di conseguenza lo stesso dott. Arcuri auspica che ci sia una massiccia adesione volontaria dei cittadini, poiché il sistema di tracciamento dei contatti servirà proprio a capitalizzare l’esperienza della fase precedente ed evitare che il contagio si possa replicare. Per essere efficace, quindi, Immuni dovrà essere scaricata dal 60 per cento degli italiani.

In effetti già questo aspetto lascia molto perplessi poiché si rischia di utilizzare un’app, che comunque comporta un trattamento di particolari categorie di dati personali, senza avere garanzie sufficienti circa la sua funzionalità rischiando, quindi, di trovarsi di fronte a quelle famose “derive tecnologiche” citate dal prof. Rodotà.

In effetti, lo stesso EDPB ha anche precisato che il Regolamento generale sulla protezione dei dati (GDPR) è una normativa di ampia portata e contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19. Il GDPR consente, difatti, alle competenti autorità sanitarie pubbliche e ai datori di lavoro di trattare dati personali nel contesto di un’epidemia, conformemente al diritto nazionale e alle condizioni ivi stabilite. Di conseguenza se il trattamento è ritenuto necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica, si può prescindere dal consenso dei singoli, poiché esiste già un presupposto di liceità di sicuro rilievo. Lo stesso art. 15 della direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica. E’ chiaro che tale legislazione eccezionale è possibile solo se costituisce una misura necessaria, adeguata e proporzionata all’interno di una società democratica. Tali misure, quindi, devono essere conformi alla Carta dei diritti fondamentali e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Inoltre, esse sono soggette al controllo giurisdizionale della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo. In presenza di situazioni di emergenza, le misure in questione devono essere rigorosamente limitate alla durata dell’emergenza.

Evidentemente si è ritenuto che il sistema di tracciamento non possa fondarsi su altre condizioni di liceità e quindi ci si è affidati al classico consenso che però inficia, come si è visto, in modo rilevante l’effettiva funzionalità del sistema e, ricordiamo, si deve fondare su un’informativa chiara e trasparente.

Eppure, come suggerito dall’EDPB, è stato precisato che Immuni garantirà l’anonimato (ossia, trattare dati in forma aggregata e tale da non consentire la successiva re-identificazione delle persone), il che potrebbe permettere di generare analisi sulla concentrazione di dispositivi mobili in un determinato luogo (“cartografia”). Difatti le norme in materia di protezione dei dati personali non si applicano ai dati che sono stati adeguatamente anonimizzati.

Anche in questo caso, però, bisogna riconoscere che l’EDPB non è stato categorico in quanto ha precisato che quando non è possibile elaborare solo dati anonimi, la direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica (articolo 15). Inoltre qualora siano introdotte misure che consentono il trattamento dei dati di localizzazione in forma non anonimizzata, lo Stato membro ha l’obbligo di predisporre garanzie adeguate, ad esempio fornendo agli utenti di servizi di comunicazione elettronica il diritto a un ricorso giurisdizionale.

D’altro canto il tracciamento (ossia il trattamento di dati storici di localizzazione in forma non anonimizzata) può essere considerato lecito e proporzionato in circostanze eccezionali come quella che stiamo vivendo e in funzione delle modalità concrete del trattamento.

E’ ovvio, naturalmente, che tali misure debbano essere soggette a un controllo rafforzato e a garanzie più stringenti per assicurare il rispetto dei principi in materia di protezione dei dati (proporzionalità della misura in termini di durata e portata, ridotta conservazione dei dati, rispetto del principio di limitazione della finalità).

Quello che va precisato, però, è che anonimizzare non è un operazione banale (rimuovere semplicemente il codice IMEI non basta); aggregare i dati, seppur anonimizzati è un operazione da valutare ed anonimizzare i dati e effettuare elaborazioni sui dati con l’ausilio di terze parti richiede misure di sicurezza adeguate su tutta la filiera di trattamento.

Viene inoltre, chiarito che l’app non utilizzerà la geolocalizzazione in quanto sfrutterà la connettività bluetooth. Sinceramente, anche questa non è una soluzione ideale poiché la tecnologia bluetooth non è certo affidabile e presenta, almeno, due limiti ben evidenti. Difatti, non ha una banda di comunicazione generica come il Wi-Fi, ma utilizza i profili specifici del dispositivo, che cambiano da costruttore a costruttore. Inoltre la banda è super affollata e se le antenne bluetooth sono a bassissima potenza, sui dispositivi meno costosi il bluetooth può avere prestazioni mediocri e scadenti. L’altro motivo è legato al software che gestisce il bluetooth, che non è mai privo di bug, che cambia a seconda del dispositivo elettronico, senza documentazione e senza supporto.

In realtà va riconosciuto che la Commissione UE, come si ricava da una nota del presidente dell’Autorità Garante Antonello Soro, ritiene che l’app sia comunque in linea con le linee guida in materia di protezione dati tracciate dalla stessa Commissione, ma nonostante tale rassicurazione rimangono molti interrogativi: quale sarà la sorte dei dati raccolti relativi a tante persone una volta cessata l’emergenza? Ed inoltre siamo sicuri che questo tracciamento non continuerà anche in una fase successiva per svolgere altre e meno lecite attività di controllo?

Non dimentichiamo che potrebbe essere molto rapido il passaggio da una società dell’informazione e della comunicazione ad una società del controllo se non ci fossero dei baluardi rappresentati proprio dai nostri diritti inviolabili riconosciuti dalla Carta Costituzionale. In questo ambito i modelli cinesi e coreani non sono certo modelli da seguire.

/da

L’importanza del digitale ai tempi del Coronavirus

In questo difficile momento dove l’evoluzione della pandemia da Covid-19 ha costretto tutti noi a cambiare drasticamente le nostre abitudini di vita, rimanendo confinati all’interno dei nostri appartamenti, stanno assumendo grande rilevanza tante iniziative di natura digitale come quella del Ministro per l’Innovazione Tecnologia e l’Innovazione “Solidarietà digitale” nelle quali si riscoprono i grandi vantaggi connessi all’uso delle tecnologie digitali.

In tale contesto, quindi, ritornano in auge quei principi informatori del progetto europeo dell’Agenda Digitale presentato dalla Commissione Europea nel maggio 2010 con lo scopo di sfruttare al meglio il potenziale delle tecnologie dell’informazione e della comunicazione (TIC o ICT) per favorire l’innovazione, la crescita economica e la competitività. L’obiettivo principale dell’Agenda è proprio quello di ottenere vantaggi socio-economici sostenibili grazie a un mercato digitale unico basato su Internet veloce e superveloce e su applicazioni interoperabili.

Con una maggiore diffusione e un uso più efficace delle tecnologie digitali l’Europa può stimolare l’occupazione e affrontare le principali sfide a cui è chiamata, offrendo ai suoi cittadini una migliore qualità della vita, per esempio assicurando un migliore servizio sanitario, trasporti più sicuri ed efficienti, un ambiente più pulito, nuove possibilità di comunicazione e un accesso più agevole ai servizi pubblici e ai contenuti culturali.

Tuttavia i benefici che i cittadini potrebbero trarre dall’uso delle tecnologie digitali sono limitati da alcune preoccupazioni inerenti la riservatezza e la sicurezza e dalla mancanza o carenza di accesso a Internet, usabilità, capacità adeguate o accessibilità per tutti. L’Agenda Digitale individua i principali ostacoli che minano gli sforzi compiuti per sfruttare le TIC e indica la strategia unitaria a livello europeo volta al loro superamento individuando le aree d’azione che sono chiamati ad adottare gli Stati membri.

Internet è senza confini ma i mercati online, sia in Europa sia a livello mondiale, sono ancora divisi da molteplici barriere che ostacolano non solo l’accesso ai servizi di telecomunicazione paneuropei ma anche ai servizi e ai contenuti Internet che dovrebbero avere una dimensione mondiale. È ora che un nuovo mercato unico permetta di sfruttare i benefici dell’era digitale. Per perseguire questo obiettivo occorre che consumatori e imprese possano vedere tutelati i propri diritti nel mercato online in modo certo, omogeneo e trasparente.

In particolare è necessario aprire l’accesso ai contenuti e adottare i diritti al progresso tecnologico attraverso l’utilizzo di licenze transfrontaliere e paneuropee. Inoltre i governi possono incentivare i mercati di contenuti mettendo a disposizione le informazioni relative al settore pubblico in maniera efficace e non discriminatoria.

È opportuno, inoltre, semplificare le transazioni online e transfrontaliere. Difatti l’Europa dispone di una moneta unica, ma il mercato dei pagamenti elettronici e della fatturazione elettronica è ancora frammentato dai confini nazionali.

Altro aspetto importante è il rafforzamento della fiducia nel digitale. La legislazione dell’Unione garantisce ai cittadini europei una serie di diritti relativi al contesto digitale, come la libertà d’espressione e d’informazione, la protezione dei dati personali e della riservatezza, i requisiti in materia di trasparenza e gli obblighi di servizio universale di telefonia e di accesso Internet funzionale, nonché una qualità minima del servizio. Tuttavia questi diritti sono riconosciuti in varie norme e non sono sempre facili da reperire. Molto indubbiamente è stato fatto in questi ultimi tempi (si pensi al GDPR, alla direttiva europea in tema di diritto d’autore), ma bisogna aumentare la consapevolezza dei diritti degli utenti, che devono essere messi in condizioni di trovare spiegazioni semplici dei loro diritti e doveri, espressi in modo trasparente e comprensibile.

Infine si ricorda che tra le priorità della Commissione inerenti ai servizi di telecomunicazione vi sono: la rapida e coerente attuazione del quadro normativo modificato; l’adozione di soluzioni efficaci per affrontare gli ostacoli che impediscono alle aziende e ai cittadini europei di sfruttare appieno i servizi di comunicazione elettronica transfrontaliera; la valutazione dei costi socio-economici connessi al mancato intervento dell’Europa nei mercati delle telecomunicazioni.

Inoltre per poter costruire una società realmente digitale occorre un’effettiva interoperabilità tra i prodotti e i servizi delle tecnologie dell’informazione. Internet è l’esempio migliore della potenza dell’interoperabilità tecnica: grazie alla sua architettura aperta, miliardi di persone in tutto il mondo possono utilizzare dispositivi e applicazioni interoperabili. Ma per cogliere appieno i vantaggi della diffusione delle TIC occorre aumentare ulteriormente l’interoperabilità di dispositivi, applicazioni, banche dati, servizi e reti.

Il quadro applicabile alla definizione degli standard in Europa deve adattarsi ai mercati tecnologici in rapida evoluzione perché gli standard sono essenziali per l’interoperabilità. Un’azione fondamentale per promuovere l’interoperabilità tra pubbliche amministrazioni sarà l’adozione, da parte della Commissione, di un’ambiziosa strategia europea per l’interoperabilità e la definizione di un quadro europeo di interoperabilità nell’ambito del programma ISA (Soluzioni di interoperabilità per le pubbliche amministrazioni europee).

Naturalmente gli utenti devono anche essere sicuri e protetti quando si collegano a Internet. Finora Internet si è dimostrato notevolmente sicuro, resistente e stabile, ma le reti informatiche e i terminali degli utenti rimangono vulnerabili e sono esposti a una vasta gamma di minacce in costante evoluzione, come per esempio la criminalità informatica. Affrontare queste minacce e rafforzare la sicurezza nella società digitale è una responsabilità comune, degli individui quanto degli enti pubblici e privati, sia a livello nazionale che a livello mondiale. Pertanto bisogna rafforzare la protezione dei minori che utilizzano le tecnologie online, consolidare il diritto alla riservatezza e alla tutela dei dati personali, contrastare lo spamming.

Il diritto alla riservatezza e alla tutela dei dati personali è un diritto fondamentale nell’UE che deve essere fatto rispettare, anche online, con tutti i mezzi possibili: dall’applicazione generalizzata del principio di privacy by design nelle Tecnologie dell’Informazione e della Comunicazione (TIC) pertinenti fino ad arrivare, se necessario, ad azioni dissuasive. Il quadro rivisto dell’UE applicabile alle comunicazioni elettroniche chiarisce le responsabilità degli operatori di rete e dei fornitori di servizi, compreso l’obbligo di notificare gli attentati alla sicurezza dei dati personali. L’attuazione del divieto di inviare messaggi di posta indesiderati sarà rafforzato tramite la rete europea dei centri dei consumatori.

Altra aspetto molto importante da considerare è l’Alfabetizzazione informatica. L’era digitale dovrebbe favorire la responsabilizzazione e l’emancipazione; le origini sociali o le competenze non dovrebbero costituire un ostacolo allo sviluppo di questo potenziale. Visto che sempre più operazioni sono effettuate online, dalla candidatura per un posto di lavoro, al pagamento delle tasse fino alla prenotazione di biglietti, l’uso di Internet è diventato parte integrante della vita quotidiana di molti europei. Tuttavia, la percentuale della popolazione europea che non ha mai utilizzato Internet è ancora molto elevata. Si tratta di persone che spesso dichiarano di non averne bisogno o di trovarlo troppo costoso, ed essenzialmente hanno un’età compresa fra 65 e 74 anni, un basso reddito, o si tratta di disoccupati e da persone con un livello di istruzione non elevato.

In molti casi l’esclusione è dovuta a una mancanza di competenze da parte dell’utente, in materia di alfabetizzazione e di media informatici, che incide non solo sulla capacità di trovare un’occupazione ma anche di apprendere, creare, partecipare e usare con sicurezza e consapevolezza gli strumenti digitali. L’accessibilità e l’usabilità possono costituire problemi anche per i disabili in Europa. Colmare il divario digitale può aiutare i gruppi socialmente svantaggiati a partecipare alla società digitale a condizioni paragonabili a quelle degli altri cittadini e ad accrescere le possibilità di trovare un impiego superando la loro condizione svantaggiata. Le competenze digitali rientrano quindi fra le otto competenze fondamentali che sono indispensabili per quanti vivono in una società basata sulla conoscenza. È inoltre essenziale che tutti sappiano navigare su internet in tutta sicurezza.

Tutti devono essere in grado di cogliere i benefici offerti dalla società digitale. Occorrono azioni concordate per assicurare che i disabili possano accedere integralmente ai nuovi contenuti elettronici. In particolare, i siti web pubblici e i servizi online nell’UE che svolgono un ruolo importante per favorire la piena partecipazione alla vita pubblica dovrebbero adottare le norme internazionali in materia di accessibilità del web.

L’uso intelligente della tecnologia e lo sfruttamento delle informazioni ci aiuteranno ad affrontare le sfide che attendono la nostra società, fra cui i cambiamenti climatici e l’invecchiamento della popolazione.

La società digitale deve essere intesa come una società che offrirà vantaggi a tutti. Lo sviluppo delle ICT (o TIC) sta diventando un elemento critico per realizzare obiettivi strategici quali fornire supporto a una società che invecchia, lottare contro i cambiamenti climatici, ridurre i consumi energetici, migliorare l’efficienza dei trasporti e la mobilità, rafforzare la consapevolezza dei pazienti e favorire l’inclusione dei disabili.

In questi giorni abbiamo tutti compreso che questi fattori sono diventati fondamentali per lo sviluppo e la crescita della nostra società e per una migliore vivibilità.

/da