“I tuoi dati sono un tesoro”: il video del Garante per raccontare cos’è la privacy

 
 
Tratto da www.garanteprivacy.it
 
 

Raccontare l’attività del Garante per la privacy, il ruolo svolto da quasi venticinque anni a fianco delle persone per difendere la loro riservatezza e la loro libertà. Spiegare il valore dei dati personali e perché è importante proteggerli, nella vita di tutti i giorni, soprattutto oggi nella dimensione digitale nella quale siamo immersi.

Raccontare tutto questo e farlo parlando anche al cuore delle persone.

E’ su questo che ha puntato il Garante per la privacy con questo video istituzionale, che utilizza un linguaggio nuovo per l’Autorità e inaugura un nuovo corso nella sua comunicazione.

Il claim racchiude in sé l’obiettivo che si pone questo video: rendere consapevoli le persone di un tesoro da proteggere. Insieme.

25 Gennaio 2021

Videosorveglianza: le nuove FAQ del Garante Privacy. Le regole per installare telecamere

 
Tratto da www.garanteprivacy.it
 
 

Il datore di lavoro può installare un sistema di videosorveglianza nelle sedi di lavoro? Occorre avere una autorizzazione del Garante per installare le telecamere? In che modo si fornisce l’informativa agli interessati? Quali sono i tempi dell’eventuale conservazione delle immagini registrate? Si possono utilizzare telecamere di sorveglianza casalinghe c.d. smart cam?

Sono queste alcune delle domande cui rispondono le Faq messe a punto dal Garante per la protezione dei dati personali sulle questioni concernenti il trattamento dei dati personali nell’ambito dell’installazione di impianti di videosorveglianza da parte di soggetti pubblici e privati. I chiarimenti si sono resi necessari in ragione delle nuove previsioni introdotte dal Regolamento 2016/679, alla luce delle quali va valutata la validità del provvedimento del Garante in materia, che risale al 2010 e contiene prescrizioni in parte superate. Le Faq tengono conto anche delle Linee guida recentemente adottate sul tema della videosorveglianza dal Comitato europeo per la protezione dei dati (EDPB) e contengono un modello di informativa semplificata redatto proprio sulla base dell’esempio proposto dall’EDPB.

Le Faq, disponibili da oggi sul sito dell’Autorità www.garanteprivacy.it, contengono indicazioni di carattere generale ispirate alle risposte fornite a reclami, segnalazioni, quesiti ricevuti dall’Ufficio in questo periodo.

Il Garante ha chiarito, ad esempio, che l’attività di videosorveglianza va effettuata nel rispetto del principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e alla dislocazione  dell’impianto, e che i dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite. In base al principio di responsabilizzazione, poi, spetta al titolare del trattamento (un’azienda, una pubblica amministrazione, un professionista, un condominio…) valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità dello stesso, nonché del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve, inoltre, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento.

In merito all’informativa agli interessati, l’Autorità ha chiarito che può essere utilizzato un modello semplificato (esempio un semplice cartello) contenente le informazioni più importanti e collocato prima di entrare nell’area sorvegliata, in modo che gli interessati possano capire quale zona sia coperta da una telecamera.

Di particolare importanza, infine, le indicazioni sui tempi dell’eventuale conservazione delle immagini registrate: salvo specifiche norme di legge che prevedano durate determinate, i tempi di conservazione devono necessariamente essere individuati dal titolare del trattamento in base al contesto e alle finalità del trattamento, nonché al rischio per i diritti e le libertà delle persone. Al riguardo il Garante ha sottolineato che i dati personali dovrebbero essere – nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici) – cancellati dopo pochi giorni e che quanto più prolungato è il periodo di conservazione previsto, tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.

9 Dicembre 2020

Wi-Fi pubblico gratuito, il Garante chiede all’Agid più tutele per gli utenti

 
 
Tratto da www.garanteprivacy.it
NEWSLETTER N. 470 del 1 dicembre 2020
 
 
 

Misure di sicurezza per evitare accessi alle reti interne della Pa, divieto di tracciamenti non necessari degli utenti, conservazione a tempo dei dati, maggiore trasparenza. Sono alcune delle importanti garanzie richieste dal Garante per la protezione dei dati personali nel parere reso all’Agid sullo schema di Linee guida sul Wi-Fi pubblico. L’Agenzia per l’Italia Digitale dovrà integrare lo schema per renderlo conforme alle disposizioni del Regolamento Ue e del Codice privacy.

Le Linee guida offrono indicazioni alle Pa che forniscono ai cittadini la connessione wireless ad Internet presso gli uffici e altri luoghi pubblici, in particolare nei settori scolastico, sanitario e turistico, anche mettendo a disposizione dei cittadini la porzione di banda non utilizzata dagli uffici.

L’offerta di tale servizio comporta tuttavia il trattamento, da parte delle amministrazioni, dei dati degli utenti che ne usufruiscono, caratterizzato da diversi profili di rischio. Per questo motivo l’Autorità ha ritenuto che le Linee guida devono essere integrate al fine di richiamare le pubbliche amministrazioni a garantire una corretta applicazione del Regolamento mediante l’adozione di misure tecniche ed organizzative adeguate al rischio e configurando il servizio in modo da assicurare la protezione dei dati trattati fin dalla progettazione e per impostazione predefinita.

Lo schema sottoposto al Garante raccomanda, in particolare, alle Pa di identificare gli utenti, per poter rintracciare eventuali comportamenti malevoli. Su questo punto, l’Autorità ha precisato che le amministrazioni non sono autorizzate a conservare dati di traffico telematico e ha chiesto all’Agid di integrare le Linee guida indicando alle amministrazioni modalità rispettose del Regolamento per individuare, a posteriori, i responsabili di condotte illecite (ad es. utilizzando i soli dati relativi alla connessione e disconnessione degli utenti).

L’Autorità ha chiesto inoltre di fornire indicazioni alle amministrazioni sulle tipologie di dati da raccogliere e sui tempi di conservazione, nel rispetto del principio di minimizzazione. Dovrà essere vietato qualunque trattamento di dati relativi ai dispositivi degli utenti a fini di tracciamento dell’ubicazione o degli spostamenti (mediante tecniche di Wi-Fi location tracking), consentendo solo l’uso di quelli indispensabili per l’accesso al servizio o per individuare, a posteriori, eventuali illeciti.

È possibile, inoltre, che il servizio di Wi-Fi free pubblico venga offerto anche ai turisti, attraverso le strutture alberghiere. Al riguardo, il Garante ha richiesto che lo schema venga integrato precisando che il turista deve poter decidere autonomamente se aderire al servizio di Wi-Fi free in interoperabilità o utilizzare la sola connettività alberghiera. L’eventuale interoperabilità non deve automaticamente prevedere la comunicazione alle amministrazioni dei dati dei clienti degli alberghi.

Infine, le Linee guida dovranno ribadire alle Pa la necessità di adottare adeguate misure di sicurezza, anche per la gestione delle violazioni di dati personali (artt. 32, 33 e 34 del Regolamento), nonché suggerire specifiche cautele nel caso in cui il servizio Wi-Fi free sia utilizzato anche dai dipendenti della pubblica amministrazione che lo fornisce.

2 Dicembre 2020

I suggerimenti del Garante per tutelare la tua privacy quando usi delle app

 
 
Tratto da www.garanteprivacy.it
 
 
 

Le app sono strumenti presenti ormai su numerosi dispositivi e strumenti digitali che si utilizzano quotidianamente (smartphone, tablet, pc, dispositivi indossabili, smart car, smart TV, dispositivi domotici, console per videogiochi) e offrono una vasta gamma di servizi, dalla messaggistica agli acquisti online, dalle videochiamate all’home banking, dalla formazione alla misurazione di parametri sportivi e sanitari, dalla prenotazione di viaggi e alberghi ai giochi, dalla gestione da remoto di dispositivi domotici (aspirapolvere, antifurto, illuminazione, ecc.) ai giochi, dai servizi della pubblica amministrazione alla gestione delle diete alimentari. Sono strumenti utili, divertenti, a volte indispensabili.

Ma non sempre quando si utilizza una app ci si preoccupa anche di tutelare la propria privacy.

Per proteggere i nostri dati personali e la nostra vita privata occorre quindi conoscere alcune regole fondamentali e mettere in campo adeguate cautele. Vediamo quali.

Prima di installare una app, cerca di capire quanti e quali dati verranno raccolti e come verranno utilizzati, consultando l’informativa sul trattamento dei dati personali.

In particolare, verifica:

  • chi tratterà i tuoi dati personali e con quali finalità;
  • per quanto tempo verranno conservati i dati personali che ti riguardano;
  • se i tuoi dati potranno essere condivisi con terze parti per finalità commerciali o di altro tipo.

Se per il download dell’app o per la sua installazione è prevista una registrazione, limitati a fornire i dati personali strettamente necessari all’attivazione del servizio.

Verifica se alcune informazioni raccolte dall’app possono essere diffuse automaticamente online (ad esempio, se è possibile che l ’app produca post automatici sui social media) e – nel caso le impostazioni lo prevedano – valuta se disattivare questa funzionalità.

Potresti infatti rivelare involontariamente a tutti informazioni personali.

In generale, è bene evitare di memorizzare nella app i dati delle credenziali di accesso (username, password, PIN) di carte di credito e sistemi di pagamento. I malintenzionati sono sempre in agguato.

Una app può richiedere accesso alle immagini e ai file che conservi in memoria, ai contatti in rubrica, ai dati sulla geolocalizzazione (cioè dati che contengono informazioni sulla tua posizione in un dato momento e suoi tuoi spostamenti), al microfono e alla fotocamera dei tuoi dispositivi.

Valuta sempre con attenzione se consentire l’accesso a determinate informazioni e funzionalità. Se una app richiede obbligatoriamente accesso a dati e funzionalità non strettamente necessari rispetto ai servizi offerti, evita di installarla.

IMPORTANTE: Occorre fare particolare attenzione alle app che, grazie all’impiego dell’intelligenza artificiale, consentono di modificare foto e video (ad esempio, per invecchiare i volti), inserire la propria faccia sui corpi altrui (ad esempio, di personaggi famosi) oppure trasformare il genere sessuale (da uomo a donna e viceversa). Le immagini e le informazioni raccolte in questo modo potrebbero essere utilizzate anche da malintenzionati per fini dannosi per la dignità e la reputazione delle persone, come avviene nel fenomeno del deep fake (creazione di foto e video falsi a partire da immagini vere).

In ogni caso:

  • se la app chiede accesso alla fotocamera o all’archivio di immagini del tuo smartphone, pc o tablet, verifica che siano spiegati in modo chiaro dal fornitore della app tutti i possibili utilizzi delle tue immagini;
  • ricorda che dai volti si può risalire a informazioni di natura sensibile come i dati biometrici, che potrebbero anche essere utilizzati da malintenzionati per finalità illecite (basti pensare ai dati biometrici del volto, già oggi utilizzati, ad esempio, come password per l’accesso agli smartphone) o ceduti a terzi per finalità ignote.

Alcuni spunti di riflessione

Molte app, tra cui quelle social, possono individuare e condividere con terzi la tua posizione e i tuoi spostamenti nel tempo, ad esempio utilizzando alcune funzioni del tuo smartphone. Se preferisci mantenere riservate queste informazioni, puoi disattivare la raccolta dei dati di posizione da parte delle singole app, modificando le impostazioni del tuo dispositivo relative ai servizi di geolocalizzazione.

Se utilizzi una app che prevede funzioni per la condivisione di foto e video sui social o tramite messaggistica, accertati sempre che le persone riprese siano d’accordo a diffondere online la propria immagine ed eventuali informazioni sulla loro vita privata.

Se usi una app per il dating (appuntamenti online), ricorda di informarti su come verranno trattate e conservate le informazioni che ti riguardano, e a chi verranno eventualmente resi noti aspetti della tua vita privata che potresti voler mantenere riservati.

Le app che misurano le tue prestazioni sportive o monitorano e registrano il tuo stato fisico (esempio: battito cardiaco, pressione, ecc.) sono in grado di raccogliere dati sensibili che potrebbero essere trasmessi a terzi per finalità non sempre conosciute. Verifica quindi sempre quali informazioni possono essere rilevate e trattate dalla app, stabilisci tu con chi condividerle (ad esempio, scegliendo nelle impostazioni di renderle visibili a tutti, solo agli “amici” o a nessuno) e decidi eventualmente di disattivare la rilevazione e il trattamento dei dati non indispensabili per il servizio (ad esempio, si può scegliere di monitorare la durata e la distanza percorsa correndo o andando in bicicletta anche senza rilevare il battito cardiaco).

Ricorda che insieme alle app potresti scaricare inavvertitamente virus e malware pericolosi per la tua privacy

Per evitare rischi:

  • installa sul dispositivo che ospita le app anche un software antivirus in grado di proteggere i dati personali da eventuali violazioni;
  • imposta password di accesso sicure e aggiornale periodicamente;
  • aggiorna periodicamente la app: le nuove versioni contengono di solito anche miglioramenti sul fronte della sicurezza informatica;
  • non disattivare mai i controlli di sicurezza previsti dal tuo dispositivo, se non sei assolutamente consapevole di ciò che stai facendo;
  • fai sempre attenzione alla provenienza delle app. In particolare:
  • evita di scaricare app tramite siti web che non ti sembrano affidabili o cliccando link che ti vengono inviati tramite SMS o messaggistica. In generale, è meglio scaricare le app dai market ufficiali, che garantiscono la presenza di controlli da parte dei gestori del market sull’affidabilità dei prodotti e permettono di consultare le eventuali recensioni di altri utenti (sull’uso di una determinata app, sugli sviluppatori o sul market stesso) per verificare se sono, ad esempio, segnalati problemi riguardanti la sicurezza dei dati. Se il market prevede la creazione di un account, ricorda di informarti sempre su come tratterà i dati richiesti per la sua attivazione;
  • leggi con attenzione le descrizioni delle app che intendi installare (se, ad esempio, nei testi sono presenti errori e imprecisioni, c’è da sospettare).

Pensa ai rischi che possono correre i minori

Meglio evitare che i minori possano scaricare e utilizzare app da soli. I più giovani, infatti, sono meno consapevoli dei pericoli e più esposti al rischio di una raccolta e diffusione incontrollata di dati personali proprio dei familiari.

Inoltre, potrebbero diventare oggetto di attenzione di malintenzionati che cercano di contattarli, oppure fare involontariamente acquisti online o diffondere inconsapevolmente dati sensibili o informazioni sul conto bancario o la carta di credito dei genitori.

Se i minori utilizzano dispositivi quali PC, tablet, smartphone, smart TV, console per videogiochi, servizi di streaming online, usati anche da altri familiari, si può decidere di creare un profilo con impostazioni d’uso limitate, in modo che alcune delle app installate o alcuni contenuti non siano accessibili ai minori.

Nei casi in cui ci siano dubbi sull’effettivo rispetto delle norme o sul corretto uso dei propri dati personali, ci si può rivolgere al Garante per la protezione dei dati personali.

Per informazioni e tutela: www.garanteprivacy.it

11 Novembre 2020

Violazioni di dati personali (data breach) – Regolamento (UE) 2016/679

 
 
Tratto da www.garanteprivacy.it
 
 

COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?

Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. 

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. 

Alcuni possibili esempi: 

– l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

– il furto o la perdita di dispositivi informatici contenenti dati personali;

– la deliberata alterazione di dati personali;

– l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; 

– la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

– la divulgazione non autorizzata dei dati personali.

COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?

Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi. 

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. 

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. 

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

CHE TIPO DI VIOLAZIONI  DI DATI PERSONALI VANNO NOTIFICATE?

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali. 

Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione  e qualsiasi altro significativo svantaggio economico o sociale.

CHE INFORMAZIONI DEVE CONTENERE LA NOTIFICA AL GARANTE?**

La notifica deve contenere le informazioni previste all’art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951).

Qualora si utilizzi per la notifica il modello allegato al provvedimento, è necessario scaricarlo sul proprio dispositivo e successivamente procedere alla sua compilazione.

COME INVIARE LA NOTIFICA AL GARANTE?

La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it *** oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.

L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

LE AZIONI DEL GARANTE

Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale

* Consultare sempre le procedure aggiornate che il Garante Privacy pubblica sul suo sito.

27 Ottobre 2020

Blog & News

Categorie