ius and bit

Com’è noto a Madrid dal 4 al 6 novembre si è tenuta la 31ma Conferenza Internazionale sulla Privacy che ha riunito le Autorità e gli esperti del settore.

Al termine della conferenza è stata adottata la risoluzione “Internacional Standards on the Protection of Personal Data and Privacy” disponibile al momento solo in lingua inglese.

La risoluzione adottata, con le più ampie riserve di migliore approfondimento, lascia subito trasparire l’esigenza di standars comuni in materia di privacy che non vengano limitati dalle appartenenze ad uno o all’altro Stato. In sostanza, i proponenti la risoluzione adottata è fondata su una parte preliminare che prevede una proposta nei termini seguenti:

a) Definire un insieme di principi e diritti garantendo la efficace e uniforme tutela della privacy a livello internazionale con riguardo al trattamento dei dati personali; b) La facilitazione dei flussi internazionali di dati personali necessari in un mondo globalizzato.

La parte preliminare offre, inoltre le definizioni della terminologia utilizzata e con riguardo al “trattamento” si precisa che con tale espressione si intende qualunque operazione o complesso di operazioni, automatizzate e non, che viene eseguita sui dati personali, come la raccolta, archiviazione, utilizzo, la divulgazione o la cancellazione.

La seconda parte prevede 6 principi e la terza riguarda la legittimità del trattamento. La parte IV contempla i diritti del titolare dei dati e la parte V la sicurezza. La parte VI riguarda la conformità alla normativa e il monitoraggio.

Infine, la risoluzione dichiara:

In questa prospettiva, il trattamento dei dati personali nel settore pubblico e privato sarebbe stato compiuto, in un approccio più uniforme a livello internazionale:

a. equamente, legalmente e in maniera proporzionata in relazione agli scopi determinati, espliciti e legittimi;

b. sulla base di politiche trasparenti, informare adeguatamente i soggetti dei dati e senza alcuna discriminazione arbitraria nei loro confronti;

c. garantire l’accuratezza, la riservatezza e la sicurezza dei dati, nonché la legittimità del trattamento, ed i diritti dei titolari di accesso, rettifica, cancellazione dei dati e di opposizione contro la loro trasformazione;

d. l’attuazione dei principi di responsabilità e di obbligatorietà, anche se i trattamenti che vengono effettuati dai fornitori di servizi, a nome del responsabile del trattamento;

e. l’offerta di maggiori garanzie del caso in cui i dati sono sensibili;

f. garantire che i dati personali trasferiti a livello internazionale, beneficiano del livello di protezione fornito dalla suddetta serie di norme,

g. soggetta al controllo dell’autorità di vigilanza indipendente e imparziale dotata di poteri e risorse adeguati anche in connessione con il dovere di cooperare tra di loro;

h. in un quadro nuovo e moderno di misure proattive, come quelle orientate in particolare per prevenire e individuare le violazioni e basato sulla nomina di funzionari di privacy, nonché su audit efficienti e valutazione d’impatto sulla privacy.

La stessa risoluzione rinvia poi alle successive conferenze internazionali per le attività di verifica.

(traduzione non ufficiale)

Si discute molto di sicurezza per i minori su Internet e numerose sono anche le iniziative a riguardo. Con la newsletter di ieri il Garante per la privacy ha fatto riferimento alla Raccomandazione n. 1882 rivolta agli Stati membri del Consiglio d’Europa ed ai Parlamenti nazionali adottata il 28 settembre 2009 dall’Assemblea Parlamentare del Consiglio d’Europa. L’intervento del Garante contenuto nella newsletter, a mio modesto avviso, va inteso come un ulteriore monito rivolto a tutti al fine di garantire sempre più i minori che, costituendo la “digital generation”, vivono utilizzando con maggiore intensità e facilità gli strumenti delle nuove tecnologie come Internet e dispositivi mobili.

Probabilmente, l’intervento del Garante non è anomalo, posto che viene pubblicato proprio alla vigilia della conferenza mondiale che si terrà a Madrid dal 4 al 6 novembre prossimi e all’esito della quale verrà adottata proprio una risoluzione sui social network di valenza mondiale. Non va neppure trascurato il ruolo che ha assunto il Garante e cioè quello di interventista in situazioni in cui spesso manca una normativa ad hoc.

Tornando alla raccomandazione del Consiglio d’Europa, non può sottacersi la tendenza degli Organi europei volta ad assumere posizioni univoche su tematiche quanto mai attuali. Infatti, al di là dei documenti già noti a settembre il Comitato Economico e Sociale Europeo (EESC) ha pubblicato l’opinione “Impact of social networking websites“ con evidenti riferimenti a security & safety nonché ai rischi connessi con la privacy. Inoltre, la Commissaria V. Reding lo scorso 23 ottobre in occasione del seminario EDPS-ENISA Seminar ‘Responding to Data Breaches’ ha dichiarato, fra l’altro,

My vision is that security and data protection in the Information Society must be based on a comprehensive risk assessment and on management approaches, which take into account all hazards and threats, whether they come from cyber-attacks, from natural disruptions, or any other source.

La citata Raccomandazione, poi, fa riferimento ad uno dei punti cruciali del programma della Commissione europea in questo ambito: il Safer Internet Programme (al quale, peraltro, collaboro per il nodo italiano). Di recente ho partecipato all’evento annuale “Safer Internet Forum 2009″ che quest’anno ha riservato integralmente proprio ai minori una delle sessioni.

Si tratta indubbiamente di un tema non semplice. Gli aspetti connessi con la sicurezza per i minori su Internet sono molteplici così come le soluzioni. Difatti, gli attori in gioco sono numerosi, ma questi i nuclei più importanti: minori, genitori e famiglie,  scuola ed insegnanti. Non credo che esista una soluzione; ritengo che si debba lavorare su più fronti. E’ necessaria una poderosa campagna di sensibilizzazione, awareness raising, rivolta ai citati nuclei più importanti. In questi giorni si è avviato l’Easy Tour che, nell’ambito del progetto Safer Internet, contribuisce proprio a sensibilizzare, attraverso un bus itinerante per l’Italia, studenti, genitori ed insegnanti. Un ruolo primario, comunque è sempre quello dei genitori che dovrebbero indicare ai figli quali sono i rischi di un uso improprio o poco consapevole della rete Internet. La rete Internet è una risorsa straordinaria, tanto che ha modificato la nostra vita nel corso degli ultimi anni, ma è opportuno un approccio consapevole per sfruttarne al meglio le enormi risorse.

Si riporta il comunicato stampa presente sul sito del Garante per la protezione dei dati personali riguardo alla iniziativa della Commissione Europea di consentire l’accesso alla banca dati EURODAC.

Privacy: per il gruppo di esperti europei “ingiustificata” la proposta della Commissione europea di ampliare l’accesso ad Eurodac Invito a Europarlamento e Consiglio Ue a un dibattito approfondito

Il Working Party of Police and Justice (WPPJ), il Gruppo di esperti europei istituito nel 2007 dalle Autorità garanti per protezione dei dati personali con l’obiettivo di affrontare le problematiche connesse alla privacy dei cittadini europei nell’ambito dell’attività giudiziaria e di polizia, esprime le proprie preoccupazioni in relazione alla decisione della Commissione europea di adottare un emendamento che consentirebbe alle autorità di polizia di accedere ad Eurodac, la banca dati dell’UE contenente le impronte digitali dei richiedenti asilo.

Il Gruppo di esperti europeo, presieduto dal Presidente dell’Autorità italiana Francesco Pizzetti, ricorda che Eurodac è stato creato per uno scopo specifico e contiene dati molto sensibili relativi a soggetti particolarmente vulnerabili, quali sono i richiedenti asilo.

Il WPPJ sottolinea che esistono già numerose altre banche dati e numerosi canali informativi a disposizione delle autorità di polizia per la lotta al terrorismo e ad altre gravi forme di criminalità. La Commissione, viceversa, non ha ancora dimostrato la necessità di un accesso al database di Eurodac per queste finalità. Tale accesso contrasta, peraltro, con altri principi fondamentali della protezione dei dati relativi alla proporzionalità dei trattamenti ed al rispetto delle loro finalità.

Il WPPJ intende analizzare con attenzione la proposta della Commissione e fornire un più motivato parere, ma invita sin d’ora Parlamento e Consiglio a un dibattito approfondito che tenga conto delle pesanti ricadute che tali iniziative possono avere sui diritti e le libertà fondamentali dei cittadini.

Roma, 17 settembre 2009

Fonte: Garante per la protezione dei dati personali

È estremamente interessante il contenuto del rapporto del 16/7/2009 (per il documento in pdf cliccare qui) redatto da Elizabeth  Denham, che è
”Assistant Privacy Commissioner of Canada”, presso l’Office of the Privacy Commissioner, a seguito di una denuncia presentata contro Facebook Inc. per presunta violazione della privacy.

La denuncia è stata proposta dal CIPPIC (Canadian Internet Policy and Public Interest Clinic) e si compone di 24 motivi di accusa articolati in 12 distinti argomenti. In sintesi con la denuncia si fa riferimento alle impostazioni privacy di default, alla raccolta e utilizzo di informazioni personali degli utenti per scopi pubblicitari, alla divulgazione delle informazioni personali degli utenti agli sviluppatori di applicazioni di terze parti, alla raccolta ed utilizzo di informazioni non-personali degli utenti.

Gli argomenti chiave della citata denuncia sono stati il mancato rispetto da parte di Facebook della conoscenza e del consenso per l’utente. L’ufficio canadese per la privacy ha condotto l’indagine al fine di verificare se Facebook fornisca agli utenti adeguate informazioni circa le finalità di raccolta, di uso, o di divulgazione di informazioni personali, e se in questo in modo fosse stata adottata una condotta trasparente.

Il rapporto in questione si conclude con tre soluzioni diverse:

1. motivi ed argomenti infondati: per quanto concerne le nuove utilizzazioni dei dati personali, la raccolta di informazioni personali da fonti diverse Facebook, Facebook Mobile e sicurezza, e frodi e false dichiarazioni;
2. motivi ed argomenti fondati e risolti mediante la proposta a Facebook di misure correttive (con un controllo dopo 30 giorni): con riferimento alla raccolta della data di nascita, alle impostazioni privacy predefinite, alla pubblicità e al monitoraggio per attività anomale;
3. motivi ed argomenti fondati e non risolti (con proposta di raccomandazioni): con riferimento alle applicazioni di terze parti, alla disattivazione e alla cancellazione dell’account, agli account degli utenti deceduti, e alle informazioni personali dei non utenti.

Con riguardo all’ultimo punto (il 3) circa gli argomenti fondati e non risolti, l’Ufficio canadese per la privacy ha rivolto a Facebook le seguenti raccomandazioni per mettere in atto misure:

(applicazioni di terze parti)

a) per limitare l’accesso agli sviluppatori di applicazioni alle informazioni degli utenti che non sono tenuti ad eseguire una specifica applicazione;

b) gli utenti dovrebbero essere informati in ogni caso delle informazioni specifiche che un’applicazione richiede e a quale scopo;

c) dovrebbe essere richiesto in ogni caso il consenso esplicito degli utenti circa l’accesso degli sviluppatori alle informazioni;

d) o vietare qualsiasi divulgazione di informazioni personali degli utenti che non sono esse stesse da aggiungere a un’applicazione.

(disattivazione e cancellazione dell’account)

Che Facebook sviluppi, Istituisca, e informi gli utenti di una policy di conservazione dei dati in cui le informazioni personali degli utenti che hanno disattivato il loro account verranno cancellate dai server di Facebook dopo un periodo di tempo ragionevole.

(account degli utenti deceduti)

Che Facebook includa nella sua policy sulla privacy, nel contesto di tutti gli usi previsti dei dati personali, una spiegazione della destinazione d’uso delle informazioni personali al fine di lasciare in memoria gli account degli utenti deceduti.

(informazioni personali dei non utenti)

a) che Facebook esamini e metta in atto misure volte a migliorare il suo utilizzo, posta la mancanza di conoscenza e di consenso da parte dei non utenti alla raccolta, all’utilizzo e alla conservazione dei loro indirizzi e-mail da parte di Facebook;

b) che Facebook imposti un limite di tempo ragionevole sulla conservazione degli indirizzi email dei non utenti allo scopo di tener traccia proposte di invito e del relativa accettazione.

Ciò posto, con un post del 27 agosto pubblicata nella Press Room e con ulteriore nota pubblicata sul blog, Facebook annunciava cambiamenti nella policy privacy proprio a seguito dell’intervento del “Canadian Privacy Commissioner“. In sostanza la denuncia ed il successivo provvedimento del garante canadese hanno avuto effetto per gli utenti.

Come si accennava all’inizio, questo rapporto si dimostra interessante con riguardo ai numerosi aspetti della privacy che possono essere presenti sulle piattaforme di social networking. In ambito europeo va sicuramente evidenziato l’importante documento dell’art. 29 WP di recente adozione che è stato illustrato in due distinti post e precisamente qui e qui.

Tuttavia, è sufficiente raggiungere la pagina di Facebook che riguarda la privacy per leggere, tra l’altro,

Partecipazione al programma EU Safe Harbor

Facebook aderisce al programma EU Safe Harbor Privacy Framework elaborato dal Ministero del Commercio degli Stati Uniti. In virtù di tale adesione, il sito Web fa riferimento a TRUSTe per la risoluzione delle controversie inerenti al rispetto, da parte nostra, del Safe Harbor Privacy Framework. Se hai lamentele da avanzare circa la nostra ottemperanza al Safe Harbor, visita il nostro Centro assistenza. Se tale segnalazione si rivelerà infruttuosa, potrai inoltrare la tua lamentela a TRUSTe all’indirizzo http://www.truste.org/users/users_watchdog_intro.html.

Ciò conferma che i server di Facebook sono in USA ove pure viene effettuato il trattamento dei dati personali.

Inoltre, con riguardo ai profili privacy del proprio account, nelle medesime condizioni generali si legge:

Modifica o rimozione delle informazioni

Gli strumenti di modifica del profilo consentono di accedere alla maggior parte delle informazioni personali su Facebook e modificarle in modo rapido. Ogni utente di Facebook può modificare o rimuovere tutte le informazioni del profilo in qualsiasi momento accedendo al proprio account. Le informazioni saranno aggiornate immediatamente. Chiunque desideri disattivare il proprio account Facebook, può farlo dalla pagina Il mio account. È possibile che le informazioni rimosse rimangano memorizzate in copie di riserva per un periodo di tempo, ma generalmente non saranno disponibili ai membri di Facebook.

Quando si utilizzano servizi di comunicazione per condividere informazioni con altri utenti su Facebook (ad esempio, quando si invia un messaggio personale ad un altro utente), tuttavia, non è possibile rimuovere questi tipi di comunicazione.

Con riguardo alla modifica delle informazioni, queste indicazioni “È possibile che le informazioni rimosse rimangano memorizzate in copie di riserva per un periodo di tempo, ma generalmente non saranno disponibili ai membri di Facebook.” si manifestano assolutamente generiche posto che non è precisata la durata del “periodo di tempo”.

Ritornando sul documento dell’art. 29 WP, ritengo utile riportare la parte conclusiva con l’elenco dei diritti e dei doveri (traduzione non ufficiale):

Summary of obligations/rights

Applicability of EC Directives

1. The Data Protection Directive generally applies to the processing of personal data by SNS, even when their headquarters are outside of the EEA (La direttiva sulla protezione dei dati personali generalmente si applica al trattamento dei dati personali da parte dei SNS, perfino quando la loro sede è fuori dall’Area dell’Europa).

2. SNS providers are considered data controllers under the Data Protection Directive (I SNS sono considerati responsabili dei dati secondo la Direttiva sulla protezione dei dati personali).

3. Application providers might be considered data controllers under the Data Protection Directive (I fornitori di software potrebbero essere considerati responsabili dei dati secondo la Direttiva sulla protezione dei dati personali).

4. Users are considered data subjects vis-à-vis the processing of their data by SNS (Gli utenti sono considerati soggetti dei dati che vengono trattati dai SNS).

5. Processing of personal data by users in most cases falls within the household exemption. There are instances where the activities of a user are not covered by this exemption (Il trattamento dei dati personali da parte degli utenti in molti casi non rientra nella esenzione).

6. SNS fall outside of the scope of the definition of electronic communication service and therefore the Data Retention Directive does not apply to SNS (Ai SNS che non rientrano nella definizione di servizio di comunicazione elettronica non si applica pertanto la Direttiva su data retention).

Obligations of SNS

7. SNS should inform users of their identity, and provide comprehensive and clear information about the purposes and different ways in which they intend to process personal data (I SNS dovrebbero informare gli utenti sulla loro identità e fornire informazioni comprensibili e chiare circa gli scopi e i diveris modi in cui essi intendono trattare i dati personali).

8. SNS should offer privacy-friendly default settings (I SNS dovrebbero offrire di default semplici impostazioni sulla privacy).

9. SNS should provide information and adequate warning to users about privacy risks when they upload data onto the SNS (I SNS dovrebbero fornire agli utenti informazione ed avvisi adeguati circa i rischi sulla privacy quando fanno l’upload di dati sui SNS).

11. Users should be advised by SNS that pictures or information about other individuals, should only be uploaded with the individual’s consent (Gli utenti dovrebbero essere avvisati dai SNS che le immagini o le informazioni su altri individui dovrebbero essere uploadati soltanto con il consenso dei soggetti interessati).

12. At a minimum, the homepage of SNS should contain a link to a complaint facility, covering data protection issues, for both members and non-members (Come minimo, la home page del SNS dovrebbe contenere un link per una semplice segnalazione, riguardo alle questioni privacy, per i membri e per i non membri).

13. Marketing activity must comply with the rules laid down in the Data Protection and ePrivacy Directives (L’attività di marketing de essere conforme con i ruolo imposto nelle direttive su data protection e eprivacy).

14. SNS must set maximum periods to retain data on inactive users. Abandoned accounts must be deleted (I SNS devono impostare periodi massimi per conservare i dati degli utenti inattivi. Gli acount abbandonati devono essere cancellati).

15. With regard to minors, SNS should take appropriate action to limit the risks (Con riguardo ai minori, i SNS dovrebbero effettuare interventi appropriati per limitare i rischi).

Rights of Users

16. Both members and non-members of SNS have the rights of data subjects if applicable, according to the provisions of Article 10 – 14 of the Data Protection Directive (Entrambi membri e non membri dei SNS hanno il diritto dei titolari dei dati se applicabile, secondo le previsioni degli articoli 10-14 della direttiva sulla data protection).

17. Both members and non-members should have access to an easy-to-use complaint handling procedure set up by the SNS (Entrambi membri e non membri dovrebbero avere accesso ad una semplice procedura di segnalazione impostata dai SNS).

18. Users should, in general, be allowed to adopt a pseudonym (Agli utenti dovrebbe, in generale, essere permesso adottare uno pseudonimo).

La posizione dell’art. 29 WP si presenta assolutamente in linea con i principi sottoscritti dai SNP a Lussemburgo il 10 febbraio scorso. Tuttavia, il documento dell’art. 29 WP è importante perché chiarisce in maniera precisa alcuni aspetti su cui c’erano delle perplessità. L’auspicio è che i SNP si adeguino presto anche per consentire il rispetto delle direttive in questione.

Il 12 giugno il c.d. Gruppo Articolo 29 (Article 29 Data Protection Working Party) ha adottato il documento dal titolo “Opinion 5/2009 on online social networking” sul social netorking online.

Detto documento costituisce un validissimo contributo all’analisi della connessione tra privacy, dati personali e social network.

Probabilmente per la prima volta viene fornita la definizione di “Social Network service” nei termini seguenti (punto 2):

Il SNS può sostanzialmente essere definito come una piattaforma di comunicazione on-line che consente alle persone di entrare o creare reti di utenti simili. In senso giuridico, le reti sociali sono servizi della società dell’informazione, come definiti all’articolo 1, paragrafo 2, della direttiva 98/34/CE, come modificata dalla direttiva 98/48/CE.

I SNS condivide determinate caratteristiche:

- gli utenti sono invitati a fornire i dati personali al fine di generare una descrizione di se stessi o ‘profilo’.

- I SNS forniscono anche strumenti che consentono agli utenti di pubblicare i propri materiali (contenuti generati dagli utenti, come una fotografia o un appunto, musica o video-clip o link ad altri siti);

- il “social networking” è attivato utilizzando strumenti che forniscono un elenco dei contatti per ogni utente, e con il quale gli utenti possono interagire. I SNS generano gran parte del loro reddito attraverso la pubblicità che viene proposta insieme alle pagine web impostate e raggiunte dagli utenti. Gli utenti che hanno posto una grande quantità di informazioni sui loro interessi sui loro profili offrono un raffinato mercato per gli inserzionisti che desiderano proporre la pubblicità mirata sulla base di tali informazioni.

È quindi importante che i SNS operino in un modo da rispettare i diritti e le libertà degli utenti che hanno un legittimo affidamento nel corretto trattamento dei dati personali secondo la legislazione sulla privacy nazionale ed europea.

È molto importante quanto affermato al successivo punto 3.1 sul responsabile dei dati personali. Difatti, il documento in commento dispone che i Social Network Service provider sono responsbili dei dati personali secondo la Direttiva sui dati personali. Si dispone, inoltre, che anche i produttori di software (applicazioni) potrebbero essere anche responsabili del trattamento dei dati se sviluppano applicazioni che funzionano unitamente alla piattaforma software del social network e l’utente decide di utilizzare quella determinata applicazione.

Ulteriore precisazione riguarda il ruolo dell’utente che se utilizza le informazioni per attività puramente personali o familiari gode di una sorta di esenzione (definita “household exemption”). Tuttavia, in alcuni casi l’utente non può godere della citata esenzione come ad esempio quando il social network viene utilizzato come piattaforma condivisa da associazioni o società, oppure quando le informazioni del profilo personale vengono estese a tutti i membri del social network tanto da essere indicizzate nei motori di ricerca, ed infine quando devono essere garantiti i diritti dei terzi nel caso in cui l’utente si rendesse responsabile in base alle norme nazionali (es. diffamazione, ecc.).

Deve essere ovviamente garantito un livello di sicurezza e di privacy nelle impostazioni di default. I dati sensibili possono essere resi pubblici soltanto con il consenso esplicito dell’interessato.