ius and bit

Oggi si celebra la quarta edizione del “Data protection day“, giornata europea per la protezione dei dati personali. Tale iniziativa coinvolge i singoli Stati membri, il Consiglio d’Europa e le Istituzioni europee. In particolare, per l’edizione di quest’anno si è posta maggiore attenzione alla protezione dei dati personali con riguardo alle questioni connesse con il flusso transfrontaliero. In realtà, tale aspetto che ha spinto a guardare al di là dei confini è stato già oggetto di attenzione da parte dei Supervisor mondiali all’ultima conferenza internazionale che si è tenuta a Madrid.

La Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale è stata aperta alla firma il 28 gennaio 1981 ed è entrata in vigore il 1° ottobre 1985. Dal sito del Consiglio si legge: “La Convenzione rappresenta il primo strumento internazionale obbligatorio che ha per scopo la protezione delle persone contro l’uso abusivo del trattamento automatizzato dei dati di carattere personale, e che disciplina il flusso transfrontaliero dei dati. Otre le garanzie previste per il trattamento automatizzato dei dati di carattere personale, essa bandisce il trattamento dei dati «delicati» sull’origine razziale, sulle opinioni politiche, la salute, la religione, la vita sessuale, le condanne penali, in assenza, di garanzie previste dal diritto interno. La Convenzione garantisce anche il diritto delle persone di conoscere le informazioni catalogate su di loro ed ad esigere, se del caso, delle rettifiche. Unica restrizione a tale diritto può aversi solo in caso in cui sia presente un interesse maggiore (sicurezza pubblica, difesa, etc). La Convenzione impone anche delle limitazioni ai flussi transfrontalieri di dati negli stati in cui non esiste alcuna protezione equivalente.“

Secondo il comunicato stampa del Consiglio d’Europa, la “convenzione definisce una serie di principi fondamentali comuni che si sono universalmente riconosciuti e che restano validi anche nel mondo di oggi di continuo sviluppo della tecnologia. La convenzione è aperta all’adesione di Stati non europei e mira a rafforzare la protezione dei dati globali quadro giuridico non solo in Europa ma al di là.

Numerose sono le campagne di sensibilizzazione e gli eventi ufficiali programmati. In Italia il Garante ha organizzato l’iniziativa “Al cinema dal Garante per la Giornata europea della privacy” rivolta agli studenti.

Le tecnologie avanzano e coinvolgono tutti sia sul piano personale sia su quello prettamente lavorativo. A questo punto resta da chiedersi quanta reale consapevolezza abbiano gli stakeholders (Istituzioni, Industrie, Associazioni di consumatori, ecc.) in ordine all’evoluzione tecnologica ed al suo riflesso sulla vita quotidiana di ognuno di noi. La tutela dei dati personali in un epoca di comunicazione globale attraverso la rete Internet assume priorità massima ed è necessario affrontare la sfida lanciata dalle nuove tecnologie. Auspico interventi concreti e non meramente ideologici o di forma.

Di seguito il video relativo all’iniziativa “Data Protection Day 2010 – Think privacy !” che mi sembra lanci un buon messaggio.

Il Garante privacy ha pubblicato questa mattina un documento contenente precisazioni sulla figura degli Amministratori di sistema le cui prescrizioni entreranno in vigore il prossimo 15 dicembre.

In sostanza le precisazioni sono le seguenti:

• le prescrizioni riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o abbiano fatto ricorso alla figura professionale dell’amministratore di sistema o a una figura equivalente.
• le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso.

Fonte: Garante privacy

Il Garante della privacy europeo con un comunicato stampa del 9 novembre scorso ha annunciato come a seguito dell’approvazione del telecom package sia necessaria una riforma della direttiva sulla eprivacy e precisamente della direttiva 2002/58/CE.

Peter Hustinx, Garante Europeo, ha dichiarato:

Accolgo con favore i numerosi miglioramenti in materia di protezione della privacy  contenuti nella direttiva ePrivacy modificata. Ma ora è di fondamentale importanza ampliare il campo di applicazione delle disposizioni sulla violazione della sicurezza a tutti i settori e definire ulteriormente le procedure di notifica. Inoltre, le nuove norme devono essere attuate in maniera efficace. Prendo atto, in particolare, sulle più efficace applicazione delle norme in materia di spyware e cookies. Ciò è particolarmente rilevante dove i diritti alla privacy devono essere protetti in relazione alla cosiddetta pubblicità mirata.

I punti della riforma sono i seguenti:

• for the first time in the EU, a framework for mandatory notification of personal data breaches. Any communications provider or Internet service provider (ISP) involved in individuals’ personal data being compromised must inform them if the breach is likely to adversely affect them. Examples of such circumstances would include those where the loss could result in identity theft, fraud, humiliation or damage to reputation. The notification will include recommended measures to avoid or reduce the risks. The data breach notification framework builds on the enhanced provisions on security measures to be implemented by operators, and should stem the increasing flood of data breaches;

• reinforced protection against interception of users’ communications through the use of – for example – spyware and cookies stored on a user’s computer or other device. Under the new Directive users should be offered better information and easier ways to control whether they want cookies stored in their terminal equipment;

• the possibility for any person negatively affected by spam , including ISPs, to bring effective legal proceedings against spammers;

• substantially strengthened enforcement powers for national data protection authorities. They will for example be able to order breaches of the law to stop immediately and will have improved means of cross-border cooperation.

In sostanza: 1) obbligo di notificazione di violazione dei dati personali; 2) maggiore informazione e tutela contro l’uso di spyware e cookies; 3) possibilità di agire legalmente contro gli spammer (inclusi gli ISP); 4) rafforzamento dei poteri delle Autorità nazionali per la protezione dei dati personali che potranno, ad esempio, ordinare l’interruzione immediata in presenza di violazioni di legge, ed avranno maggiori poteri negli interventi transfrontalieri.

Fonte: Europa

Com’è noto a Madrid dal 4 al 6 novembre si è tenuta la 31ma Conferenza Internazionale sulla Privacy che ha riunito le Autorità e gli esperti del settore.

Al termine della conferenza è stata adottata la risoluzione “Internacional Standards on the Protection of Personal Data and Privacy” disponibile al momento solo in lingua inglese.

La risoluzione adottata, con le più ampie riserve di migliore approfondimento, lascia subito trasparire l’esigenza di standars comuni in materia di privacy che non vengano limitati dalle appartenenze ad uno o all’altro Stato. In sostanza, i proponenti la risoluzione adottata è fondata su una parte preliminare che prevede una proposta nei termini seguenti:

a) Definire un insieme di principi e diritti garantendo la efficace e uniforme tutela della privacy a livello internazionale con riguardo al trattamento dei dati personali; b) La facilitazione dei flussi internazionali di dati personali necessari in un mondo globalizzato.

La parte preliminare offre, inoltre le definizioni della terminologia utilizzata e con riguardo al “trattamento” si precisa che con tale espressione si intende qualunque operazione o complesso di operazioni, automatizzate e non, che viene eseguita sui dati personali, come la raccolta, archiviazione, utilizzo, la divulgazione o la cancellazione.

La seconda parte prevede 6 principi e la terza riguarda la legittimità del trattamento. La parte IV contempla i diritti del titolare dei dati e la parte V la sicurezza. La parte VI riguarda la conformità alla normativa e il monitoraggio.

Infine, la risoluzione dichiara:

In questa prospettiva, il trattamento dei dati personali nel settore pubblico e privato sarebbe stato compiuto, in un approccio più uniforme a livello internazionale:

a. equamente, legalmente e in maniera proporzionata in relazione agli scopi determinati, espliciti e legittimi;

b. sulla base di politiche trasparenti, informare adeguatamente i soggetti dei dati e senza alcuna discriminazione arbitraria nei loro confronti;

c. garantire l’accuratezza, la riservatezza e la sicurezza dei dati, nonché la legittimità del trattamento, ed i diritti dei titolari di accesso, rettifica, cancellazione dei dati e di opposizione contro la loro trasformazione;

d. l’attuazione dei principi di responsabilità e di obbligatorietà, anche se i trattamenti che vengono effettuati dai fornitori di servizi, a nome del responsabile del trattamento;

e. l’offerta di maggiori garanzie del caso in cui i dati sono sensibili;

f. garantire che i dati personali trasferiti a livello internazionale, beneficiano del livello di protezione fornito dalla suddetta serie di norme,

g. soggetta al controllo dell’autorità di vigilanza indipendente e imparziale dotata di poteri e risorse adeguati anche in connessione con il dovere di cooperare tra di loro;

h. in un quadro nuovo e moderno di misure proattive, come quelle orientate in particolare per prevenire e individuare le violazioni e basato sulla nomina di funzionari di privacy, nonché su audit efficienti e valutazione d’impatto sulla privacy.

La stessa risoluzione rinvia poi alle successive conferenze internazionali per le attività di verifica.

(traduzione non ufficiale)

Con un post del 29 ottobre Facebook ha annunciato di aver modificato le condizioni sulla privacy ed invita gli utenti ad esprimere i propri commenti entro le ore 12:00 del 5/11/2009.

Questo è il link al quale poter visionare le nuove condizioni in italiano.

A tutta prima sembrerebbe un cambiamento in positivo e, caso strano, proprio alla vigilia della conferenza mondiale dei Garanti internazionali che si terrà a Madrid dal 4 al 6 novembre.

Si riporta il comunicato stampa presente sul sito del Garante per la protezione dei dati personali riguardo alla iniziativa della Commissione Europea di consentire l’accesso alla banca dati EURODAC.

Privacy: per il gruppo di esperti europei “ingiustificata” la proposta della Commissione europea di ampliare l’accesso ad Eurodac Invito a Europarlamento e Consiglio Ue a un dibattito approfondito

Il Working Party of Police and Justice (WPPJ), il Gruppo di esperti europei istituito nel 2007 dalle Autorità garanti per protezione dei dati personali con l’obiettivo di affrontare le problematiche connesse alla privacy dei cittadini europei nell’ambito dell’attività giudiziaria e di polizia, esprime le proprie preoccupazioni in relazione alla decisione della Commissione europea di adottare un emendamento che consentirebbe alle autorità di polizia di accedere ad Eurodac, la banca dati dell’UE contenente le impronte digitali dei richiedenti asilo.

Il Gruppo di esperti europeo, presieduto dal Presidente dell’Autorità italiana Francesco Pizzetti, ricorda che Eurodac è stato creato per uno scopo specifico e contiene dati molto sensibili relativi a soggetti particolarmente vulnerabili, quali sono i richiedenti asilo.

Il WPPJ sottolinea che esistono già numerose altre banche dati e numerosi canali informativi a disposizione delle autorità di polizia per la lotta al terrorismo e ad altre gravi forme di criminalità. La Commissione, viceversa, non ha ancora dimostrato la necessità di un accesso al database di Eurodac per queste finalità. Tale accesso contrasta, peraltro, con altri principi fondamentali della protezione dei dati relativi alla proporzionalità dei trattamenti ed al rispetto delle loro finalità.

Il WPPJ intende analizzare con attenzione la proposta della Commissione e fornire un più motivato parere, ma invita sin d’ora Parlamento e Consiglio a un dibattito approfondito che tenga conto delle pesanti ricadute che tali iniziative possono avere sui diritti e le libertà fondamentali dei cittadini.

Roma, 17 settembre 2009

Fonte: Garante per la protezione dei dati personali

È estremamente interessante il contenuto del rapporto del 16/7/2009 (per il documento in pdf cliccare qui) redatto da Elizabeth  Denham, che è
”Assistant Privacy Commissioner of Canada”, presso l’Office of the Privacy Commissioner, a seguito di una denuncia presentata contro Facebook Inc. per presunta violazione della privacy.

La denuncia è stata proposta dal CIPPIC (Canadian Internet Policy and Public Interest Clinic) e si compone di 24 motivi di accusa articolati in 12 distinti argomenti. In sintesi con la denuncia si fa riferimento alle impostazioni privacy di default, alla raccolta e utilizzo di informazioni personali degli utenti per scopi pubblicitari, alla divulgazione delle informazioni personali degli utenti agli sviluppatori di applicazioni di terze parti, alla raccolta ed utilizzo di informazioni non-personali degli utenti.

Gli argomenti chiave della citata denuncia sono stati il mancato rispetto da parte di Facebook della conoscenza e del consenso per l’utente. L’ufficio canadese per la privacy ha condotto l’indagine al fine di verificare se Facebook fornisca agli utenti adeguate informazioni circa le finalità di raccolta, di uso, o di divulgazione di informazioni personali, e se in questo in modo fosse stata adottata una condotta trasparente.

Il rapporto in questione si conclude con tre soluzioni diverse:

1. motivi ed argomenti infondati: per quanto concerne le nuove utilizzazioni dei dati personali, la raccolta di informazioni personali da fonti diverse Facebook, Facebook Mobile e sicurezza, e frodi e false dichiarazioni;
2. motivi ed argomenti fondati e risolti mediante la proposta a Facebook di misure correttive (con un controllo dopo 30 giorni): con riferimento alla raccolta della data di nascita, alle impostazioni privacy predefinite, alla pubblicità e al monitoraggio per attività anomale;
3. motivi ed argomenti fondati e non risolti (con proposta di raccomandazioni): con riferimento alle applicazioni di terze parti, alla disattivazione e alla cancellazione dell’account, agli account degli utenti deceduti, e alle informazioni personali dei non utenti.

Con riguardo all’ultimo punto (il 3) circa gli argomenti fondati e non risolti, l’Ufficio canadese per la privacy ha rivolto a Facebook le seguenti raccomandazioni per mettere in atto misure:

(applicazioni di terze parti)

a) per limitare l’accesso agli sviluppatori di applicazioni alle informazioni degli utenti che non sono tenuti ad eseguire una specifica applicazione;

b) gli utenti dovrebbero essere informati in ogni caso delle informazioni specifiche che un’applicazione richiede e a quale scopo;

c) dovrebbe essere richiesto in ogni caso il consenso esplicito degli utenti circa l’accesso degli sviluppatori alle informazioni;

d) o vietare qualsiasi divulgazione di informazioni personali degli utenti che non sono esse stesse da aggiungere a un’applicazione.

(disattivazione e cancellazione dell’account)

Che Facebook sviluppi, Istituisca, e informi gli utenti di una policy di conservazione dei dati in cui le informazioni personali degli utenti che hanno disattivato il loro account verranno cancellate dai server di Facebook dopo un periodo di tempo ragionevole.

(account degli utenti deceduti)

Che Facebook includa nella sua policy sulla privacy, nel contesto di tutti gli usi previsti dei dati personali, una spiegazione della destinazione d’uso delle informazioni personali al fine di lasciare in memoria gli account degli utenti deceduti.

(informazioni personali dei non utenti)

a) che Facebook esamini e metta in atto misure volte a migliorare il suo utilizzo, posta la mancanza di conoscenza e di consenso da parte dei non utenti alla raccolta, all’utilizzo e alla conservazione dei loro indirizzi e-mail da parte di Facebook;

b) che Facebook imposti un limite di tempo ragionevole sulla conservazione degli indirizzi email dei non utenti allo scopo di tener traccia proposte di invito e del relativa accettazione.

Ciò posto, con un post del 27 agosto pubblicata nella Press Room e con ulteriore nota pubblicata sul blog, Facebook annunciava cambiamenti nella policy privacy proprio a seguito dell’intervento del “Canadian Privacy Commissioner“. In sostanza la denuncia ed il successivo provvedimento del garante canadese hanno avuto effetto per gli utenti.

Come si accennava all’inizio, questo rapporto si dimostra interessante con riguardo ai numerosi aspetti della privacy che possono essere presenti sulle piattaforme di social networking. In ambito europeo va sicuramente evidenziato l’importante documento dell’art. 29 WP di recente adozione che è stato illustrato in due distinti post e precisamente qui e qui.

Tuttavia, è sufficiente raggiungere la pagina di Facebook che riguarda la privacy per leggere, tra l’altro,

Partecipazione al programma EU Safe Harbor

Facebook aderisce al programma EU Safe Harbor Privacy Framework elaborato dal Ministero del Commercio degli Stati Uniti. In virtù di tale adesione, il sito Web fa riferimento a TRUSTe per la risoluzione delle controversie inerenti al rispetto, da parte nostra, del Safe Harbor Privacy Framework. Se hai lamentele da avanzare circa la nostra ottemperanza al Safe Harbor, visita il nostro Centro assistenza. Se tale segnalazione si rivelerà infruttuosa, potrai inoltrare la tua lamentela a TRUSTe all’indirizzo http://www.truste.org/users/users_watchdog_intro.html.

Ciò conferma che i server di Facebook sono in USA ove pure viene effettuato il trattamento dei dati personali.

Inoltre, con riguardo ai profili privacy del proprio account, nelle medesime condizioni generali si legge:

Modifica o rimozione delle informazioni

Gli strumenti di modifica del profilo consentono di accedere alla maggior parte delle informazioni personali su Facebook e modificarle in modo rapido. Ogni utente di Facebook può modificare o rimuovere tutte le informazioni del profilo in qualsiasi momento accedendo al proprio account. Le informazioni saranno aggiornate immediatamente. Chiunque desideri disattivare il proprio account Facebook, può farlo dalla pagina Il mio account. È possibile che le informazioni rimosse rimangano memorizzate in copie di riserva per un periodo di tempo, ma generalmente non saranno disponibili ai membri di Facebook.

Quando si utilizzano servizi di comunicazione per condividere informazioni con altri utenti su Facebook (ad esempio, quando si invia un messaggio personale ad un altro utente), tuttavia, non è possibile rimuovere questi tipi di comunicazione.

Con riguardo alla modifica delle informazioni, queste indicazioni “È possibile che le informazioni rimosse rimangano memorizzate in copie di riserva per un periodo di tempo, ma generalmente non saranno disponibili ai membri di Facebook.” si manifestano assolutamente generiche posto che non è precisata la durata del “periodo di tempo”.

Il Garante per la protezione dei dati personali, con la newsletter n. 326 del 27 luglio 2009, ha richiamato l’attenzione dei giornalisti sulle informazioni e sulle foto presenti sui social network. Ritengo opportuno, per dovere di chiarezza, riportare il testo ufficiale del Garante:

Giornalisti: attenzione a foto e informazioni prese dai social network

Il Garante scrive a Ordine nazionale dei giornalisti e Federazione degli editori

É necessario che i giornalisti verifichino sempre con attenzione le informazioni personali e le immagini che si possono trovare su Facebook e gli altri social network.

Con una lettera al Consiglio nazionale dell’Ordine dei giornalisti e alla Fieg, il Garante per la privacy ha avviato un’opera di sensibilizzazione sul corretto utilizzo delle informazioni presenti sulla rete. Internet costituisce oggi, infatti, per i giornalisti una ricca fonte di dati.

Tuttavia la facile accessibilità agli stessi non può consentire un uso indiscriminato, senza adeguate verifiche sulla loro esattezza e completezza, oltre che sulla loro pertinenza sui fatti narrati. La scrupolosa verifica delle informazioni è tanto più necessaria se si considera il fatto che gli utenti dei social network non sono ancora pienamente consapevoli del fatto che i dati personali da loro inseriti su Facebook e su altri siti sono facilmente raggiungibili attraverso i motori di ricerca.

Nei mesi scorsi la stessa Autorità è dovuta intervenire a seguito delle segnalazioni di alcuni cittadini che lamentavano la diffusione, su quotidiani e testate televisive, di informazioni e fotografie da loro inserite su Facebook, associate però a persone omonime.

Il Garante, in linea con altre Autorità europee, ha dunque invitato sia l’Ordine nazionale dei giornalisti, sia la Federazione italiana degli editori giornali, a condividere l’opera di sensibilizzazione richiamando i direttori e i giornalisti al più scrupoloso rispetto dei principi “che costituiscono l’essenza di una corretta e professionale attività giornalistica”.

In realtà, come si evince dal contenuto dello stesso testo non si tratta di una vera novità, poiché il Garante si era già pronunciato a riguardo in una precedente newsletter (la n. 323 del 19 maggio 2009). In realtà, a parere di chi scrive, non vanno condannati i social network; si tratta di risorse della rete che – come tutte – vanno utilizzate con prudenza ed equilibrio. Tuttavia, è indubbio che stiamo vivendo un momento di evoluzione profonda delle modalità di comunicazione e delle risorse presenti sulla rete. Sino a qualche anno fa per ottenere alcune informazioni in modo lecito era necessario fare ricorso alle risorse istituzionali. Oggi, invece, è molto più semplice ottenere alcune informazioni che – a volte banalmente – gli utenti rendono disponibili in Internet. Pertanto, al di là del doveroso richiamo del Garante ad un uso corretto ed appropriato delle informazioni e delle foto, sarebbe utile e forse necessaria una continua campagna di sensibilizzazione degli ecytizen in modo che si possa prendere coscienza dell’importanza dei dati personali e di quanto possa essere importante proteggerli nell’era digitale di un mondo globalizzato.