Dark Pattern: modelli di progettazione ingannevoli

 
 
Tratto da www.garanteprivacy.it – 20/04/2023
 
 
Dark Pattern: modelli di progettazione ingannevoli che possono influenzare il comportamento di chi naviga online e ostacolare la protezione dei dati
 
 
 
 

Con la definizione di “modelli di progettazione ingannevoli” vengono indicate quelle interfacce e quei percorsi di navigazione progettati per influenzare l’utente affinché intraprenda azioni inconsapevoli o non desiderate – e potenzialmente dannose dal punto della privacy del singolo – ma favorevoli all’interesse della piattaforma o del gestore del servizio.

Detti anche Dark Pattern, i modelli di progettazione ingannevoli mirano dunque a influenzare il nostro comportamento e possono ostacolare la capacità di proteggere efficacemente i nostri dati personali.

Il 24 febbraio 2023, il Comitato europeo per la protezione dati (EDPB) ha pubblicato le linee guida su come riconoscere ed evitare questi sistemi. Il documento offre raccomandazioni pratiche a gestori dei social media, a designer e utenti su come comportarsi di fronte a queste interfacce che si pongono in violazione del Regolamento europeo in materia di protezione dati.

Le linee guida dell’EDPB individuano sei tipologie riguardo alle quali si può parlare di “modelli di progettazione ingannevoli”:

• quando gli utenti si trovano di fronte a una enorme numero di richieste, informazioni, opzioni o possibilità finalizzate a spingerli a condividere più dati possibili e consentire involontariamente il trattamento dei dati personali contro le aspettative dell’interessato (overloading)

• quando le interfacce sono realizzate in modo tale che gli utenti dimentichino o non riflettano su aspetti legati alla protezione dei propri dati (skipping)

• quando le scelte degli utenti sono influenzate facendo appello alle loro emozioni o usando sollecitazioni visive (stirring)

• quando gli utenti sono ostacolati o bloccati nel processo di informazione sull’uso dei propri dati o nella gestione dei propri dati (hindering)

• quando gli utenti acconsentono al trattamento dei propri dati senza capire quali siano le finalità a causa di un’interfaccia incoerente o poco chiara (flickle)

• quando l’interfaccia è progettata in modo da nascondere le informazioni e gli strumenti di controllo della privacy agli utenti (leftinthedark).

Ricordiamo che interfacce e informazioni sottoposte agli utenti dovrebbero sempre riflettere fedelmente le conseguenze dell’azione intrapresa ed essere coerenti con il percorso di esperienza-utente.

L’approccio alla progettazione deve essere dunque quello di non mettere in discussione la decisione della persona per indurla a scegliere o mantenere un ambiente meno protettivo nei confronti dei propri dati. Il modello deve invece essere utilizzato per avvisare la persona che una scelta appena compiuta potrebbe comportare rischi per i propri dati e la privacy.

26 Aprile 2023

GDPR: focus dei Garanti europei sul ruolo dei responsabili della protezione dei dati

 
Tratto da www.garanteprivacy.it – 15/03/2023
 
 

Il Comitato europeo per la protezione dei dati (EDPB) ha dato il via alla sua azione coordinata per l’attuazione del Regolamento nel 2023 (Coordinated Enforcement Framework – CEF 2023).

Nel corso dell’anno, 26 Autorità di controllo dello Spazio Economico Europeo (SEE), compreso il Garante europeo della protezione dei dati, parteciperanno al CEF 2023 focalizzandosi sulla designazione e la posizione dei Responsabili della protezione dei dati (RPD).

Operando come intermediari tra le Autorità di protezione dei dati, le persone fisiche e i titolari di trattamento pubblici e privati, i responsabili della protezione dei dati svolgono un ruolo essenziale nel contribuire al rispetto della normativa sulla protezione dei dati e nel promuovere una tutela efficace dei diritti degli interessati.

Per valutare se i RPD operino realmente nei termini previsti dagli articoli 37-39 RGPD e dispongano delle risorse necessarie per svolgere i propri compiti, le autorità di controllo realizzeranno le attività previste dal CEF a livello nazionale in diversi modi:

– saranno inviati questionari ai RPD per facilitare la raccolta di elementi istruttori ovvero per individuare la necessità di accertamenti formali;

– avvio di accertamenti formali;

– follow-up degli accertamenti formali in corso.

I risultati dell’attività congiunta saranno analizzati in modo coordinato e le autorità di controllo valuteranno eventuali azioni ulteriori a livello nazionale. Inoltre, attraverso l’aggregazione dei risultati, sarà possibile un’analisi più approfondita con un follow-up mirato a livello dell’UE. L’EDPB pubblicherà una relazione sui risultati di tale analisi una volta concluse le singole attività.

Si tratta della seconda iniziativa nell’ambito del Coordinated Enforcement Framework (CEF).

Le iniziative del CEF mirano ad armonizzare l’attuazione delle norme e la cooperazione tra le autorità di controllo.

Nel 2022, il tema prescelto è stato l’uso dei servizi cloud da parte del settore pubblico. Il 18 gennaio 2023 è stata pubblicata una relazione sui risultati di questa prima iniziativa del CEF.

Per ulteriori informazioni:

Cloud nella PA: i Garanti europei lanciano un’indagine coordinata

Cloud nella PA: le Autorità Ue chiedono il rispetto della privacy

 

16 Marzo 2023

La difesa in giudizio non giustifica l’accesso alla posta elettronica del lavoratore

 
Tratto da www.garanteprivacy.it – Newsletter del 15/03/2023
 
 
 
 
 
 

Il legittimo interesse a trattare dati personali per difendere un proprio diritto in giudizio non annulla il diritto dei lavoratori alla protezione dei dati personali. Tanto più se riguarda una forma di corrispondenza, come i messaggi di posta elettronica, la cui segretezza è tutelata anche costituzionalmente.

È una delle motivazioni con cui il Garante privacy ha sanzionato un’azienda che, dopo l’interruzione della collaborazione con un’esponente di una cooperativa, ne aveva mantenuto attivo l’account di posta elettronica, prendendo visione del contenuto e impostando un sistema di inoltro verso un dipendente della società.

La collaboratrice, prima che si definisse il rapporto di lavoro con l’azienda, aveva raccolto, a nome dell’azienda stessa e tramite una casella mail aperta per l’occasione, i riferimenti di potenziali clienti incontrati a una fiera.

Secondo l’azienda poi, il successivo tentativo di contattarli a nome della propria cooperativa aveva in seguito portato a un contenzioso giudiziale.

Quindi, nel timore di perdere i rapporti coi potenziali clienti, l’azienda non si era limitata a scrivere per spiegare loro che la persona era stata rimossa, ma ne aveva anche visionato le comunicazioni. Secondo il Garante, né l’esigenza di mantenere i rapporti con i clienti né l’interesse a difendere un proprio diritto in giudizio, legittimano un tale trattamento di dati personali. Per realizzare un adeguato bilanciamento degli interessi in gioco (necessità di prosecuzione dell’attività economica del titolare e diritto alla riservatezza dell’interessato) sarebbe stato sufficiente attivare un sistema di risposta automatico, con l’indicazione di indirizzi alternativi da contattare, senza prendere visione delle comunicazioni in entrata sull’account.

Nel corso del procedimento è inoltre emerso che l’azienda, in quanto titolare del trattamento, non aveva fornito all’interessata né idoneo riscontro alla richiesta di cancellazione della casella e-mail né l’informativa sul trattamento dati. A nulla vale il fatto che il contratto di assunzione non fosse stato ancora firmato. Come ricorda l’Autorità, nell’ambito di trattative precontrattuali, infatti, l’obbligo di informare gli interessati è espressione del principio generale di correttezza.

 

15 Marzo 2023

Protezione dei dati personali: gli strumenti di tutela a disposizione dell’interessato

 
Tratto da www.garanteprivacy.it – 06/12/2022
 
 

Il Garante lancia una scheda informativa che illustra, in modo dettagliato, caratteristiche, differenze e modalità di impiego degli strumenti di tutela a disposizione dell’interessato previsti dalla normativa in materia di protezione dei dati personali: la segnalazione e il reclamo.

L’iniziativa fa parte di un più ampio progetto dell’Autorità, che punta ad offrire strumenti per comprendere facilmente quali diritti sono riconosciuti alle persone in materia di protezione dei dati personali e illustrano le modalità per un concreto esercizio di tali diritti.

La scheda è pubblicata sul sito Internet del Garante alla pagina https://www.gpdp.it/home/diritti/come-agire-per-tutelare-i-tuoi-dati-personali

13 Dicembre 2022

Videosorveglianza: stop del Garante privacy a riconoscimento facciale e occhiali smart. L’Autorità apre istruttorie nei confronti di due Comuni

 
Tratto da www.garanteprivacy.it – 14/11/2022
 

Faro del Garante sui sistemi di videosorveglianza intelligente.

L’Autorità ha aperto un’istruttoria nei confronti del Comune di Lecce, che ha annunciato l’avvio di un sistema che prevede l’impiego di tecnologie di riconoscimento facciale.

In base alla normativa europea e nazionale, ha ricordato l’Autorità, il trattamento di dati personali realizzato da soggetti pubblici, mediante dispositivi video, è generalmente ammesso se necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. 

Ma i Comuni, ha sottolineato il Garante, possono utilizzare impianti di videosorveglianza, solo a condizione che venga stipulato il cosiddetto “patto per la sicurezza urbana tra Sindaco e Prefettura”.

Inoltre, fino all’entrata in vigore di una specifica legge in materia, e comunque fino al 31 dicembre 2023, in Italia non sono consentiti l’installazione e l’uso di sistemi di riconoscimento facciale tramite dati biometrici, a meno che il trattamento non sia effettuato per indagini della magistratura o prevenzione e repressione dei reati. La moratoria nasce dall’esigenza di disciplinare requisiti di ammissibilità, condizioni e garanzie relative al riconoscimento facciale, nel rispetto del principio di proporzionalità.

Il Comune dovrà quindi fornire all’Autorità una descrizione dei sistemi adottati, le finalità e le basi giuridiche dei trattamenti, un elenco delle banche dati consultate dai dispositivi e la valutazione d’impatto sul trattamento dati, che il titolare è sempre tenuto ad effettuare nel caso di “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.

Sempre in materia di videosorveglianza, il Garante ha avviato un’istruttoria anche nei confronti del Comune di Arezzo, dove, secondo notizie di stampa, a partire dal 1° dicembre 2022 è prevista la sperimentazione di “super-occhiali infrarossi” (che rileverebbero le infrazioni dal numero di targa e, collegandosi ad alcune banche dati nazionali, sarebbero in grado di verificare la validità dei documenti del guidatore).

L’Autorità ha messo in guardia dall’uso di dispositivi video che possano comportare – anche indirettamente – un controllo a distanza sulle attività del lavoratore e ha invitato al rispetto delle garanzie previste dalla disciplina privacy e dallo Statuto dei lavoratori.

Anche il Comune di Arezzo dovrà fornire copia dell’informativa che sarà resa agli interessati, sia cittadini a cui si riferiscono i veicoli e sia personale che indosserà i dispositivi, e la valutazione d’impatto sul trattamento dei dati che li riguarda.

16 Novembre 2022