Oggi ENISA (European Network Information and Security Agency) pubblica un nuovo report sui social network accessibili attraverso dispositivi mobili dal titolo “Online as soon as it happens” (Online non appena accade). E’ possibile scaricare il documento direttamente dal sito di ENISA.

Questo report vede anche la mia personale collaborazione per l’Italia.

ENISA nel suo comunicato stampa evidenzia che:

The report points out the risks and threats of mobile social networking services, e.g. identity theft, corporate data leakage and reputation risks of mobile social networks. The report also gives 17 ‘golden rules’ on how to combat these threats.

(Il report sottolinea i rischi e le minacce dei servizi di mobile social network, ad es. furti d’identità, perdita dei dati aziendali e rischi sulla reputazione dei social network mobile. La relazione contiene inoltre 17 “regole d’oro” su come combattere tali minacce)

Il report non riguarda il fenomeno del social networking per i minorenni ma è una sorta di guida generale per evitare i rischi connessi con il fenomeno del mobile social networking. Nel documento in questione viene fornita una descrizione di cosa si intenda per mobile social network che viene così descritto:

Mobile social networking is a means of communication using a combination of voice and data devices over networks including cellular technology and private and public IP infrastructure. Generally speaking MSNs can be divided into two categories: ‘on deck’ and ’off deck’. ‘On deck’ refers to services that operate through a partnership between social network companies and wireless phone carriers. This category of services programs and applications which enable the social networking experience are distributed via the wireless carrier and are pre-packaged with the purchase of a mobile phone. ‘Off deck’ refers instead to services whose applications do not come pre-packaged and the user has to download the application from the Internet or from a wireless provider after the time of purchase.

Bene, il documento distingue tra mobile social networkings (MSNs) “on deck” e “off deck“: nel primo caso si tratta di servizi di social network preinstallati nel cellulare o nel dispositivo mobile ed offerti in base ad un accordo tra social network provider e gestore telefonico, mentre nel secondo si tratta di applicazioni liberamente scaricabili sul dispositivo e svincolate da accordi specifici.

Il documento offre il quadro degli aspetti di privacy connessi con questo fenomeno e i principali rschi che ne derivano.

Complessivamente si tratta di un ottimo ed utile documento nello stile di ENISA.

Fonte: ENISA

internet, social network mobile, social networking

Ritornando sul documento dell’art. 29 WP, ritengo utile riportare la parte conclusiva con l’elenco dei diritti e dei doveri (traduzione non ufficiale):

Summary of obligations/rights

Applicability of EC Directives

1. The Data Protection Directive generally applies to the processing of personal data by SNS, even when their headquarters are outside of the EEA (La direttiva sulla protezione dei dati personali generalmente si applica al trattamento dei dati personali da parte dei SNS, perfino quando la loro sede è fuori dall’Area dell’Europa).

2. SNS providers are considered data controllers under the Data Protection Directive (I SNS sono considerati responsabili dei dati secondo la Direttiva sulla protezione dei dati personali).

3. Application providers might be considered data controllers under the Data Protection Directive (I fornitori di software potrebbero essere considerati responsabili dei dati secondo la Direttiva sulla protezione dei dati personali).

4. Users are considered data subjects vis-à-vis the processing of their data by SNS (Gli utenti sono considerati soggetti dei dati che vengono trattati dai SNS).

5. Processing of personal data by users in most cases falls within the household exemption. There are instances where the activities of a user are not covered by this exemption (Il trattamento dei dati personali da parte degli utenti in molti casi non rientra nella esenzione).

6. SNS fall outside of the scope of the definition of electronic communication service and therefore the Data Retention Directive does not apply to SNS (Ai SNS che non rientrano nella definizione di servizio di comunicazione elettronica non si applica pertanto la Direttiva su data retention).

Obligations of SNS

7. SNS should inform users of their identity, and provide comprehensive and clear information about the purposes and different ways in which they intend to process personal data (I SNS dovrebbero informare gli utenti sulla loro identità e fornire informazioni comprensibili e chiare circa gli scopi e i diveris modi in cui essi intendono trattare i dati personali).

8. SNS should offer privacy-friendly default settings (I SNS dovrebbero offrire di default semplici impostazioni sulla privacy).

9. SNS should provide information and adequate warning to users about privacy risks when they upload data onto the SNS (I SNS dovrebbero fornire agli utenti informazione ed avvisi adeguati circa i rischi sulla privacy quando fanno l’upload di dati sui SNS).

11. Users should be advised by SNS that pictures or information about other individuals, should only be uploaded with the individual’s consent (Gli utenti dovrebbero essere avvisati dai SNS che le immagini o le informazioni su altri individui dovrebbero essere uploadati soltanto con il consenso dei soggetti interessati).

12. At a minimum, the homepage of SNS should contain a link to a complaint facility, covering data protection issues, for both members and non-members (Come minimo, la home page del SNS dovrebbe contenere un link per una semplice segnalazione, riguardo alle questioni privacy, per i membri e per i non membri).

13. Marketing activity must comply with the rules laid down in the Data Protection and ePrivacy Directives (L’attività di marketing de essere conforme con i ruolo imposto nelle direttive su data protection e eprivacy).

14. SNS must set maximum periods to retain data on inactive users. Abandoned accounts must be deleted (I SNS devono impostare periodi massimi per conservare i dati degli utenti inattivi. Gli acount abbandonati devono essere cancellati).

15. With regard to minors, SNS should take appropriate action to limit the risks (Con riguardo ai minori, i SNS dovrebbero effettuare interventi appropriati per limitare i rischi).

Rights of Users

16. Both members and non-members of SNS have the rights of data subjects if applicable, according to the provisions of Article 10 – 14 of the Data Protection Directive (Entrambi membri e non membri dei SNS hanno il diritto dei titolari dei dati se applicabile, secondo le previsioni degli articoli 10-14 della direttiva sulla data protection).

17. Both members and non-members should have access to an easy-to-use complaint handling procedure set up by the SNS (Entrambi membri e non membri dovrebbero avere accesso ad una semplice procedura di segnalazione impostata dai SNS).

18. Users should, in general, be allowed to adopt a pseudonym (Agli utenti dovrebbe, in generale, essere permesso adottare uno pseudonimo).

La posizione dell’art. 29 WP si presenta assolutamente in linea con i principi sottoscritti dai SNP a Lussemburgo il 10 febbraio scorso. Tuttavia, il documento dell’art. 29 WP è importante perché chiarisce in maniera precisa alcuni aspetti su cui c’erano delle perplessità. L’auspicio è che i SNP si adeguino presto anche per consentire il rispetto delle direttive in questione.

privacy, social network Art. 29 WP, data retention, privacy, SNS

Il 12 giugno il c.d. Gruppo Articolo 29 (Article 29 Data Protection Working Party) ha adottato il documento dal titolo “Opinion 5/2009 on online social networking” sul social netorking online.

Detto documento costituisce un validissimo contributo all’analisi della connessione tra privacy, dati personali e social network.

Probabilmente per la prima volta viene fornita la definizione di “Social Network service” nei termini seguenti (punto 2):

Il SNS può sostanzialmente essere definito come una piattaforma di comunicazione on-line che consente alle persone di entrare o creare reti di utenti simili. In senso giuridico, le reti sociali sono servizi della società dell’informazione, come definiti all’articolo 1, paragrafo 2, della direttiva 98/34/CE, come modificata dalla direttiva 98/48/CE.

I SNS condivide determinate caratteristiche:

- gli utenti sono invitati a fornire i dati personali al fine di generare una descrizione di se stessi o ‘profilo’.

- I SNS forniscono anche strumenti che consentono agli utenti di pubblicare i propri materiali (contenuti generati dagli utenti, come una fotografia o un appunto, musica o video-clip o link ad altri siti);

- il “social networking” è attivato utilizzando strumenti che forniscono un elenco dei contatti per ogni utente, e con il quale gli utenti possono interagire. I SNS generano gran parte del loro reddito attraverso la pubblicità che viene proposta insieme alle pagine web impostate e raggiunte dagli utenti. Gli utenti che hanno posto una grande quantità di informazioni sui loro interessi sui loro profili offrono un raffinato mercato per gli inserzionisti che desiderano proporre la pubblicità mirata sulla base di tali informazioni.

È quindi importante che i SNS operino in un modo da rispettare i diritti e le libertà degli utenti che hanno un legittimo affidamento nel corretto trattamento dei dati personali secondo la legislazione sulla privacy nazionale ed europea.

È molto importante quanto affermato al successivo punto 3.1 sul responsabile dei dati personali. Difatti, il documento in commento dispone che i Social Network Service provider sono responsbili dei dati personali secondo la Direttiva sui dati personali. Si dispone, inoltre, che anche i produttori di software (applicazioni) potrebbero essere anche responsabili del trattamento dei dati se sviluppano applicazioni che funzionano unitamente alla piattaforma software del social network e l’utente decide di utilizzare quella determinata applicazione.

Ulteriore precisazione riguarda il ruolo dell’utente che se utilizza le informazioni per attività puramente personali o familiari gode di una sorta di esenzione (definita “household exemption”). Tuttavia, in alcuni casi l’utente non può godere della citata esenzione come ad esempio quando il social network viene utilizzato come piattaforma condivisa da associazioni o società, oppure quando le informazioni del profilo personale vengono estese a tutti i membri del social network tanto da essere indicizzate nei motori di ricerca, ed infine quando devono essere garantiti i diritti dei terzi nel caso in cui l’utente si rendesse responsabile in base alle norme nazionali (es. diffamazione, ecc.).

Deve essere ovviamente garantito un livello di sicurezza e di privacy nelle impostazioni di default. I dati sensibili possono essere resi pubblici soltanto con il consenso esplicito dell’interessato.

Europa, internet, privacy, social network Article 29 WP, Europa, privacy, social network

A febbraio con questo post davo notizia di una cerimonia organizzata dalla Commissione Europea che si è tenuta il 10 febbraio a Lussemburgo, al termine della quale i Social Ntetwork providers hanno sottoscritto un documento contenente i D.L. 193/2009 (fonte Senato) (18) ai quali attenersi per una maggiore sicurezza per i minori. Tale cerimonia coincideva con la celebrazione a livello europeo del Safer Internet Day.

Con la sottoscrizione dei principi, i SNP assumevano anche l’impegno di rilasciare una dichiarazione con la quale ciascuno avrebbe dovuto rendere noto se ed in che modo venivano rispettati i citati principi.

Adesso le dichiarazioni sono disponibili a questo indirizzo. L’aspetto interessante, quanto meno sul piano formale, è costituito dalla volontà di ciascun SNP di pubblicare questa dichiarazione, in modo che non resti del tutto frustrata la finalità dell’autoregolamentazione (self-regulation) ma che la stessa sia cocretizzata.

Europa, internet, social network

Ieri l’ITU (International Telecommunication Union) ha pubblicato la notizia relativa alla diffusione di un nuovo ceppo del worm Koobface che si starebbe diffondendo in tutti i social network, inclusi Facebook, MySpace e Bebo.

Questo worm invia dei post agli amici degli utenti infetti, invitandoli a vedere un video.

Il sito web a cui l’utente si collega simula di far credere che sia necessario avere una versione del plugin Adobe Flash Player per visualizzare il filmato ed è immaginabile la conseguenza. Sembra si tratti di un worm che si attiva su macchine Windows.

 

Fonte: ITU

sicurezza, social network Koobface, sicurezza, social network, worm