Maxi multa a British Airways per violazione del GDPR

L’autorità di controllo inglese ICO ha comunicato l’intenzione di sanzionare British Airways per violazione del regolamento GDPR.

L’evento è relativo all’attacco cracker di settembre 2018, che ha determinato un data breach nel quale sono stati raccolti (intercettati illecitamente) dati personali di circa 500.000 utenti (nominativi, indirizzi, dati dei viaggi, carte di credito).

La sanzione, oltre 183 milioni di sterline, indica come l’autorità sia determinata a far ben comprendere – alle aziende inglesi ma non solo – che la tutela dei dati personali dei loro clienti sia un aspetto primario della mission aziendale.

Vediamo anche come il GDPR abbia cambiato notevolmente il peso delle sanzioni comminabili alle aziende; siamo ben oltre i 20 milioni di euro previsti come soglia, quindi la somma è stata calcolata sulla base del fatturato annuo globale della maggior compagnia aerea inglese.

EDPS investiga la telemetria di Office

EDPS – European Data Protection Supervisor (Garante Europeo della protezione dei dati) ha messo sotto indagine Microsoft, in relazione alle funzioni di telemetria di Office 2016 e del correlato servizio Office 365.

L’indagine ha avuto avvio da una valutazione effettuata dalla Autorità di controllo olandese, la quale ha commissionato una DPIA – Data Protection Impact Assessment, nella quale si sono evidenziate attività incompatibili con il GDPR.

Nell’ottimo assessment tecnico effettuato, si è evidenziato un invio di dati diagnostici abnorme (oltre 25.000 tipologie diverse di eventi), la presenza di metadati relativi all’utente e della intestazione delle e-mail, oltre a parti dei contenuti dei testi, specialmente quando sono usati correttore automatico e traduttore.

Sono stati elencati otto punti maggiori di incompatibilità con il Regolamento UE 679/2016:

  • mancanza di trasparenza ed informazione all’utente;
  • impossibilità, per gli utenti, di impostare – o disabilitare del tutto – le funzioni di telemetria;
  • illegale acquisizione e memorizzazione di dati personali speciali/sensibili/classificati;
  • incorretta qualifica di Microsoft come data processor;
  • insufficiente controllo sui sub-processors e sulla relativa elaborazione dei dati;
  • inapplicazione del criterio di limitazione allo scopo (telemetria); a mio parere anche inapplicazione del criterio di minimizzazione e di privacy by design;
  • trasferimento illecito di dati personali al di fuori dello spazio europeo;
  • periodo di data retention indefinito.

Microsoft ha comunicato che sta lavorando per risolvere tutti i punti contestati; fornirà una documentazione esaustiva sulla tipologia di dati raccolti da Office, opzioni chiare e semplici per permettere all’utente o all’amministratore di decidere tipologie e quantità di dati, e uno strumento che permetterà ad amministratori ed utenti di visualizzare i dati raccolti (a mio parere la più grave lacuna attualmente presente).

Segnalo come Microsoft, in passato, sia già stata oggetto di contestazioni simili, in relazione alle funzioni di telemetria di Windows (specialmente il 10).

Update: oggi (15 maggio) una mia installazione di Office 2016 ha chiesto di scegliere quali dati diagnostici condividere: obbligatori e facoltativi; viene proposto un link alla informativa estesa.

Hotel e HotSpot WiFi

La sicurezza degli HotSpot WiFi di Hotel ed Alberghi è uno degli aspetti più trascurati nello scenario italiano.

Negli anni, siamo passati da un servizio a costo aggiuntivo ad un accessorio pressoché obbligatorio da fornire agli ospiti, a titolo gratuito; per questo, spesso non si ritiene utile investire in tale ambito, in quanto non porta utili tangibili.

Talvolta, nei nostri pernottamenti di lavoro in vari hotel, troviamo soluzioni che definire raffazzonate è eufemistico; in taluni casi, viene semplicemente consentito l’accesso alla stessa WLAN del router fornito dal provider internet, con tutta una serie di gravissimi rischi, incombenti sia a carico del gestore alberghiero che dei suoi clienti. In tale situazione, infatti, i dispositivi dei clienti non solo possono compromettere i devices dell’hotel ma anche quelli degli altri ospiti, in quanto possono comunicare tra di loro.

In relazione alla fornitura del servizio di connettività InterNet agli ospiti, sussistono varie normative e regolamenti, ivi compreso il Regolamento UE 679/2016; nella progettazione ed erogazione del servizio, occorre tener conto degli aspetti cogenti del GDPR e dei principi alla base della protezione dei dati personali, in particolare gli aspetti di minimizzazione, gestione del rischio, privacy by design – by default, misure di sicurezza e crittografia.

In relazione invece al famoso decreto Pisanu, pur essendo venuti meno gli obblighi di registrare i dati anagrafici e identificativi degli utenti e di monitorarne le sessioni InterNet, non mi sento di consigliare i proprietari di strutture alberghiere in tal senso, essendo sempre in capo ad essi la responsabilità di eventuali illeciti commessi da terzi nell’utilizzo delle proprie infrastrutture ITC.

Occorre quindi trovare “la quadratura del cerchio”; questa dovrà essere basata sulle specifiche caratteristiche della infrastruttura e delle esigenze della proprietà.


Attività ispettiva Garante gen-giu 2019

L’Autorità di Controllo italiana – Garante Privacy informa, tramite una apposita deliberazione, delle programmate attività ispettive per il periodo in corso (gennaio-giugno 2019).

In riferimento a profili di interesse generale per categorie di interessati, sono stati previsti alcuni accertamenti in ambiti particolari:

  • trattamenti effettuati dall’ISTAT, per una verifica preliminare sul SIM (Sistema Integrato di Microdati) e altri sistemi informativi statistici;
  • trattamenti di dati personali effettuati per il rilascio dell’identità federata (SPID);
  • trattamenti di dati personali effettuati da Istituti Bancari, con particolare riferimento ai flussi di cui all’anagrafe dei conti;
  • trattamenti di dati personali effettuati da società per attività di marketing;
  • trattamenti di dati personali effettuati da Enti Pubblici, con riferimento a banche dati di notevoli dimensioni;
  • trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione.

Sono inoltre previsti controlli nei confronti di soggetti – pubblici e privati – appartenenti a categorie omogenee, relativamente a:

  • presupposti di liceità del trattamento;
  • condizioni per il consenso, qualora il trattamento sia basato su tale presupposto;
  • rispetto dell’obbligo dell’informativa;
  • durata della conservazione dei dati.

redditodicittadinanza.gov.it ed i font (di Google)

Mi immetto nella polemica nata dalla analisi di Matteo Flora del sito www.redditodicittadinanza.gov.it per “gettare ulteriore benzina sul fuoco”.

Semplificando, Matteo dice che adottando, per la pagina web del sito in oggetto, un font di Google, si consegnano ad esso “i dati di navigazione degli utenti sul sito”.

Premessa per i non tecnici: cosa sono questi fonts di Google? Si tratta di una collezione di font (la rappresentazione dei caratteri sullo schermo) che Google rende disponibili “gratuitamente” a tutti coloro che li vogliono adottare per migliorare l’aspetto del proprio sito.
Moltissimi Framework e C.M.S. li hanno adottati di default (anche WordPress), con il risultato che molti siti li stanno usando. Questo comporta che, quando un utente si collega ad uno di questi siti, il suo browser procede a scaricare il font necessario dai server dedicati di Google (salvo che il font sia già presente nella cache del browser ed altro, ma non vorrei scendere troppo nei dettagli tecnici).
Come sappiamo, ogni qualvolta si realizza una connessione tcp-ip tra un browser ed un server, nel server si raccolgono vari dati tecnici, tra i quali l’indirizzo IP del client, che come ci dicono i vari Garanti, Corte di Giustizia UE, ecc. costituisce un dato personale; Google, per tali dati, si definisce data controller (impostazione che non condivido, ma qui si aprirebbe un lungo e complesso discorso).
L’adozione dei fonts Google su molteplici siti web determina una specie di “rete di sensori globale” dalla quale Google potrebbe acquisire informazioni; non che ne abbia particolarmente bisogno, dato che quasi tutti utilizzano il servizio “gratuito” Google Analytics, per non parlare di Ads, AdSense & C.

L’informativa privacy del sito redditodicittadinanza.gov.it riporta ad una pagina sul sito del Ministero del Lavoro e delle Politiche Sociali; non ha le caratteristiche richieste dal GDPR e non si riesce neanche a capire chi sia il DPO.

Aggiungo un elemento, a mio avviso trascurato ma determinante: perchè un sito del Governo Italiano deve stare in un server di una azienda americana, presso un datacenter americano, al di fuori dello spazio UE e delle tutele del GDPR?

P.S. io dico il font e non la font; il perchè lo trovate anche qui.

P.S.2 il codice WordPress di questo sito è stato da me modificato, da tempo, per caricare i webfont dal server locale (e non dai server di Google); questo rende il rendering delle pagine leggermente più lento, ma – per me – assolutamente necessario.

Aggiornamento: il Presidente del Garante per la protezione dei dati personali, in una memoria pubblicata nel pomeriggio, interviene con alcune osservazioni sul ddl di conversione in legge del decreto-legge 28 gennaio 2019, n. 4 (reddito di cittadinanza).
Al punto 5:
Un’ultima osservazione va riferita  all’architettura del sito web del Governo, dedicato al reddito di cittadinanza. 
Si segnala, al riguardo, che il sito rivela, già nel suo attuale stato di sviluppo, alcune carenze, in particolare, nell’informativa sul trattamento dei dati e nelle modalità tecniche della sua implementazione (che, ad oggi, comportano un’indebita e non trasparente trasmissione a terzi dei dati di navigazione, quali indirizzi IP e orario di connessione, da parte dei visitatori del medesimo sito).