Attività ispettiva Garante gen-giu 2019

L’Autorità di Controllo italiana – Garante Privacy informa, tramite una apposita deliberazione, delle programmate attività ispettive per il periodo in corso (gennaio-giugno 2019).

In riferimento a profili di interesse generale per categorie di interessati, sono stati previsti alcuni accertamenti in ambiti particolari:

  • trattamenti effettuati dall’ISTAT, per una verifica preliminare sul SIM (Sistema Integrato di Microdati) e altri sistemi informativi statistici;
  • trattamenti di dati personali effettuati per il rilascio dell’identità federata (SPID);
  • trattamenti di dati personali effettuati da Istituti Bancari, con particolare riferimento ai flussi di cui all’anagrafe dei conti;
  • trattamenti di dati personali effettuati da società per attività di marketing;
  • trattamenti di dati personali effettuati da Enti Pubblici, con riferimento a banche dati di notevoli dimensioni;
  • trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione.

Sono inoltre previsti controlli nei confronti di soggetti – pubblici e privati – appartenenti a categorie omogenee, relativamente a:

  • presupposti di liceità del trattamento;
  • condizioni per il consenso, qualora il trattamento sia basato su tale presupposto;
  • rispetto dell’obbligo dell’informativa;
  • durata della conservazione dei dati.

GDPR e sanità, le regole del Garante per studi medici, farmacie ed aziende sanitarie

L’Autorità di Controllo italiana (Garante Privacy), in apposito provvedimento, ha specificato le regole da adottare da parte di medici, farmacie ed ASL.

Come sapevamo, il medico non deve più chiedere il consenso per tutti i trattamenti che riguardano finalità di cura.

Si presti però estrema attenzione al fatto che trattamenti diversi da questa specifica finalità necessitano di altra base giuridica (o del relativo consenso).

Da evidenziare la precisazione della Autority che in ambito sanitario è sussistente, in linea generale, l’obbligo di tenuta del registro dei trattamenti; pertanto sia singoli professionisti, pediatri, studi medici associati, ospedali privati, case di cura, RSA, aziende sanitarie, farmacie debbono avere il registro dei trattamenti.

Per quanto riguarda il DPO, il singolo medico, le farmacie, parafarmacie ed ortopediche non sono tenute alla nomina; essa è invece richiesta a studi medici associati, case di cura, ospedali privati, centri diagnostici, RSA, centri chirurgici e tutti coloro che effettuano trattamenti sanitari in larga scala.

Per approfondimenti segnalo i miei post precedenti: studi medici e DPOsoggetti privati obbligati alla nomina del DPO.

Contattateci per avere supporto alla compilazione del registro dei trattamenti o per il approfondimenti in merito al ruolo di DPO in ambiti sanitari

Tipologie di trattamenti soggetti a DPIA

L’Autorità di Controllo italiana (Garante per la Protezione dei Dati Personali) ha predisposto un elenco (ovviamente non esaustivo) delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento.

  1. Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”
  2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi).
  3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.
  4. Trattamenti su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti).
  5. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8).
  6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
  7. Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01.
  8. Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.
  9. Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment).
  10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse.
  11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento
  12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Sono ovviamente sempre valide le precedenti indicazioni fornite dalla Autority su quando occorra effettuare una DPIA.

F.A.Q. Registro dei Trattamenti

Il Garante per la Protezione dei Dati Personali ha pubblicato, in una apposita pagina, le faq sul Registro dei Trattamenti; ne avevo parlato pochi giorni orsono.

Relativamente alle aziende private, i soggetti obbligati ad averlo ed aggiornarlo sono così individuabili:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Sono quindi individuati alcune tipologie di titolari del trattamento che debbono provvedere alla tenuta del Registro dei Trattamenti:

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
  • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
  • il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Cryptopia in liquidazione

Da giorni gli utenti hanno intuito che le cose non andavano; oggi è arrivata la comunicazione ufficiale: l’exchange neozelandese è stato messo in liquidazione.

Ad inizio anno aveva subito un attacco cracker, seguito da uno recente; proprio quest’ultimo potrebbe essere stato fatale.

Purtroppo questi sono i risultati della insicurezza dei sistemi informativi.

Binance violato, spariti 7000 bitcoin

Binance, uno dei maggiori exchange di cryptovalute, è stato violato da ignoti; come risultato, 7000 Bitcoin (circa 44 milioni di dollari) sono stati rubati e trasferiti su vari wallet; attualmente i criminali sono all’opera per distribuire il malloppo in molteplici altri wallet, nel tentativo di “far perdere le tracce”.

Molti pseudo-esperti, invece di focalizzare l’attenzione sul problema reale (insicurezza di tutti gli exchange, ma non solo) propongono soluzioni paradossali.

Come sempre, rimane difficilissimo da digerire il concetto di security by design; generalmente, quando occorre lanciare un servizio, saltiamo del tutto le fasi di progettazione e programmazione sicura, facciamo scrivere da programmatori junior – alla meno peggio – un software che fa quanto serve, tralasciamo del tutto gli assessment di sicurezza in quanto troppo onerosi, lo mettiamo on-line ed incrociamo le dita.

Spesso anche quando tale software o infrastruttura informativa gestisce cifre rilevanti o dati importanti.

Poi capita che vengono rubati milioni di euro, ma i clienti non debbono preoccuparsi in quanto “Binance utilizzerà il fondo SAFU per coprire le perdite provocate dagli hacker” (che in questo caso non sono hacker ma cracker); quindi nessun problema.

PEC ordine avvocati Roma violata

Giunge notizia che “i soliti ignoti” avrebbero violato oltre 30.000 caselle PEC relative all’ordine degli avvocati di Roma.

Il condizionale è d’obbligo in quanto, pur essendo già disponibili sui MEGA e PRIVATEBIN gli archivi con il frutto dell’hacking, non ho ovviamente scaricato nulla in quanto illegale; le schermate mostrate confermerebbero il fatto.

Come sempre, sicurezza informatica cercasi.

Relazione annuale del Garante

Stamani il Presidente Soro, della Autorità per la protezione dei dati personali, ha relazionato sulla trascorsa attività annuale, che conclude il settennato dell’attuale Collegio.

Il Dott. Soro, nel suo emozionato ed emozionante intervento, ha parlato di centralità della persona e di come sia essenziale il presidio della tutela dei dati personali a garanzia della democrazia, dello smarrimento del senso del limite della tecnologia e della necessità di eticità e sostenibilità quali caratteristiche imprescindibili della stessa, del valore della protezione dei dati personali a tutela della dignità dell’uomo, della necessità di essere consapevoli della rilevanza dei propri dati, dei rischi inerenti l’adozione di processi automatici e predittivi a supporto di decizioni aventi effetti rilevanti sugli individui.

Nel suo discorso ha toccato moltissimi temi, da IA, machine learning, duopolio USA – Cina, regimi digitali, rischi dei grandi dataset, cyberwars, centralità del GDPR e della politica europea, datagate Snowden, dataretention, captatori di stato, trattamenti in ambito giudiziario, cyberbullismo, diritto all’oblio e deindicizzazione e tutela della dignità della persona, revenge porno, digitalizzazione amministrativa, fatturazione elettronica, sicurezza infrastrutture e sicurezza nazionale, cloud, 5G, ecosistema digitale, cyberguerriglia permanente; rilevante incremente di attacchi informatici, malasanità e protezione dati necessaria per la qualità della cura, eccessi informativi, aumento banche dati e sistemi di profilazione di soggetti privati, crescita esponenziale di profili personali, misurazione rating reputazionale, valutazione discrezionali automatiche, telemarketing e abusi, diritto del lavoratore e tutela diritti fondamentali, voto elettronico e 5stelle, nuova idea di cittadinanza, cultura del diritto di libertà, tema delle intercettazioni e “giornalismo di trascrizione”.

Questo Collegio lascia una preziosa eredità alla Autority, purtroppo sempre in deficit di risorse; auguro l’elezione di nuovi componenti dai profili specifici ed altamente competenti, capace di governare le sfide – prevedo ciclopiche – che interverranno nei prossimi sette anni.

EDPS investiga la telemetria di Office

EDPS – European Data Protection Supervisor (Garante Europeo della protezione dei dati) ha messo sotto indagine Microsoft, in relazione alle funzioni di telemetria di Office 2016 e del correlato servizio Office 365.

L’indagine ha avuto avvio da una valutazione effettuata dalla Autorità di controllo olandese, la quale ha commissionato una DPIA – Data Protection Impact Assessment, nella quale si sono evidenziate attività incompatibili con il GDPR.

Nell’ottimo assessment tecnico effettuato, si è evidenziato un invio di dati diagnostici abnorme (oltre 25.000 tipologie diverse di eventi), la presenza di metadati relativi all’utente e della intestazione delle e-mail, oltre a parti dei contenuti dei testi, specialmente quando sono usati correttore automatico e traduttore.

Sono stati elencati otto punti maggiori di incompatibilità con il Regolamento UE 679/2016:

  • mancanza di trasparenza ed informazione all’utente;
  • impossibilità, per gli utenti, di impostare – o disabilitare del tutto – le funzioni di telemetria;
  • illegale acquisizione e memorizzazione di dati personali speciali/sensibili/classificati;
  • incorretta qualifica di Microsoft come data processor;
  • insufficiente controllo sui sub-processors e sulla relativa elaborazione dei dati;
  • inapplicazione del criterio di limitazione allo scopo (telemetria); a mio parere anche inapplicazione del criterio di minimizzazione e di privacy by design;
  • trasferimento illecito di dati personali al di fuori dello spazio europeo;
  • periodo di data retention indefinito.

Microsoft ha comunicato che sta lavorando per risolvere tutti i punti contestati; fornirà una documentazione esaustiva sulla tipologia di dati raccolti da Office, opzioni chiare e semplici per permettere all’utente o all’amministratore di decidere tipologie e quantità di dati, e uno strumento che permetterà ad amministratori ed utenti di visualizzare i dati raccolti (a mio parere la più grave lacuna attualmente presente).

Segnalo come Microsoft, in passato, sia già stata oggetto di contestazioni simili, in relazione alle funzioni di telemetria di Windows (specialmente il 10).

Update: oggi (15 maggio) una mia installazione di Office 2016 ha chiesto di scegliere quali dati diagnostici condividere: obbligatori e facoltativi; viene proposto un link alla informativa estesa.