le violazioni privacy che possono costare care agli smanettoni del web
DESCRIPTION
Il trattamento dei dati è un’attività pericolosa ai sensi dell’art.15 del Codice della Privacy, il quale sancisce che chi cagiona un danno con i dati, è tenuto a risarcirlo. Questo principio si applica anche al web, per esempio quando un’azienda realizza il proprio sito web. Spesso però moltissime imprese si rivolgono a consulenti informatici che non hanno minima cognizione della normativa, e neanche sensibilità al problema, tanto da relegare gli adempimenti privacy a una parte marginale, come se un sito fosse fatto a regola d’arte solo se possiede funzioni avanzate o una grafica accattivante. Ciò è dimostrato anche da una recente ricerca di Federprivacy, nella quale è stato dimostrato che due terzi dei siti web italiani violano la privacy. Su un campione di 2.500 siti, il 67% non è in regola con il dlgs 196/2003. Tra le violazioni più frequenti, l’assenza di idonea informativa e la mancata raccolta del consenso. La stima del possibile valore delle sanzioni per gli illeciti riscontrati è pesantissima: si parla di 24 milioni al mese. Su 2.500 siti web di enti e imprese italiane, in 1.690 casi non è rispettato l’obbligo di informare l’interessato su come saranno trattati i suoi dati personali (violazione dell’articolo 13 del Codice della Privacy) e in molti casi non è rispettata neppure la richiesta di consenso al trattamento dei dati (violazione dell’articolo 23 del Codice della Privacy). Ma se l’azienda finisce nel mirino del Garante o della Guardia di Finanza, quali sanzioni rischia? e chi paga per tali violazioni?TRANSCRIPT
PRIVACYDue terzi dei siti web italiani violano
la privacy
Cosa possiamo fare?
POLICYPRIVACY
Lezione di Privacy 2014
ANDREA CHIOZZI
Attività
Il Contesto?
Il Quadro Normativo
Sanzioni
Informativa/Consenso
Misure Minime di sicurezza
Privacy e Cookie
Privacy e Cloud/Hosting
Sommario
IL Contesto
Siti e Portali Internet
IL Contesto
Siti e Portali Internet
Perché dobbiamo preoccuparci della
privacy sui siti?
COSA FACCIAMO?
COME LO FACCIAMO?
Quadro Normativo
I Riferimenti
La direttiva e-Privacy (2002/58/CE)
modificata nel 2009 da (2009/136)
Codice in materia di protezione dei dati
personali (d.lg. 30 giugno 2003, n. 196 e, in
particolare, gli artt. 13, comma 3 e 122,
comma 1
Individuazione delle modalità semplificate
per l'informativa e l'acquisizione del
consenso per l'uso dei
cookie(Provvedimento 229 Gazzetta
Ufficiale n. 126 del 3 giugno 2014)
IL Contesto
SANZIONI
omessa informativa o di informativa inidonea, ossia che non presenti gli
elementi indicati, oltre che nelle previsioni di cui all'art. 13 del Codice,
nel presente provvedimento, è prevista la sanzione amministrativa del
pagamento di una somma da seimila a trentaseimila euro (art. 161 del
Codice
assenza del preventivo consenso degli stessi comporta, invece, la
sanzione del pagamento di una somma da diecimila a centoventimila
euro (art. 162, comma 2-bis, del Codice).
L'omessa o incompleta notificazione al Garante, infine, ai sensi di
quanto previsto dall'art. 37, comma 1, lett. d), del Codice, è sanzionata
con il pagamento di una somma da ventimila a centoventimila euro
(art. 163 del Codice).
Valgono le solite regole
Che informazioni Tratto?
Di chi sono?
Cosa Ci faccio?
Come le tratto?
WEB e Regole Generali
Valgono le solite regole
Che informazioni Tratto? -> Informativa
Di chi sono? -> Informativa
Cosa Ci faccio? -> Finalità e Consensi
Come le tratto? -> Misure Minime
WEB e Regole Generali
"Art. 13 Informativa
1) L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente
informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che
possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei
dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato
ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è
indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità
attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando
è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di
cui all'articolo 7, è indicato tale responsabile.
2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni
del presente codice e può non comprendere gli elementi già noti alla persona che fornisce i
dati o la cui conoscenza può ostacolare in concreto l'espletamento, da parte di un soggetto
pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato
oppure di prevenzione, accertamento o repressione di reati.
3. Il Garante può individuare con proprio provvedimento modalità semplificate per l'informativa
fornita in particolare da servizi telefonici di assistenza e informazione al pubblico.
4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1,
comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della
registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima
comunicazione.
……….
WEB, Informativa
Informativa e consenso
L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa la finalità e modalità del trattamento o i diritti dell’interessato
Il consenso non è richiesto, oltre che nei casi previsti nella parte II, quando
Il trattamento:è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato;
Informativa/consenso
Misure Minime SITI WEB
Sistema di autenticazione informatica
Punti 1 a 11
Sistema di autorizzazione
Punti dal 12 1 14
Altre misure di sicurezza
Punti 15 al 18
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
Punti 20 al 24
Misure di tutela e garanzia
Punti dal 25 al 26
Misure Minime
COOKIE
I COOKIE non sono altro che dei piccoli file di testo che contengono delle informazioni, in particolare un identificativo (Id) univoco, in modo da distinguere gli utenti collegati, una data di scadenza e un pattern che individua il dominio di riferimento (il sito che rilascia il cookie). Non essendo dei programmi di per sé i cookie sono incapaci di porre in essere una qualsiasi azione, possono solo essere letti dagli script dei siti web.
I COOKIE si possono distinguere in quattro tipi
Privacy e cookie
COOKIE
TIPO A: I cookie essenziali (strictly necessary) sono quei cookie che non registrano particolari
comportamenti, ma servono solamente per mantenere il collegamento tra il server e il browser
dell’utente, vengono utilizzati per registrare temporaneamente i dati dei carrelli elettronici, per
identificare e mantenere il collegamento durante la navigazione in aree riservate, impedendo
che le mie informazioni durante la navigazione vadano a finire su altri Browser.Normalmente
questi COOKIE sono di tipo non persistente LA CUI FINALITA e relativa solamente alla
navigazione personalizzata
TIPO B: i cookie di tipo Statistico (Performance cookie) sono quei cookie che permettono di
registrare comportamenti statistici ma anonimamente come ad esempio i cookie di GOOGLE
ANALYTICS o di altri motori di statistiche WEB. Sono cookie la cui FINALITA’ è STATISTICA
TIPO C: i cookie di tipi funzionale alla navigazione(Functionality cookie) sono quei cookie che
registrano le scelte dell’utente per permettergli ad esempio di ricordarsi il login, di registrare i
prodotti nel carrello e ritrovarseli la prossima sessione, per salvare la lingua selezionata
dall’utente , ovvero tutti quei cookie la cui FINALITA’ offrire una esperienza di navigazione
migliorativa e più personalizzata all’interno della erogazione di un servizio e di un accesso.
TIPO D: i cookie di tipo pubblicitario (Advertising cookie) ovvero tutti quei cookie che registrano
dati di comportamento di navigazione all’interno del sito o di acquisto per utilizzare questi dati
per proporre offerte commerciali personalizzate mentre si naviga sulle pagine, o per inviare
successivamente via mail offerte pubblicitarie
Internet, cookie
COOKIE
Provvedimento e cookie
I cookie tecnici Cookie di profilazione
COOKIE
Informativa, cookie
"Art. 122. Informazioni raccolte nei riguardi del contraente o dell'utente
1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di
un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a
condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3.
Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già
archiviate se finalizzati unicamente ad effettuare la trasmissione di una
comunicazione su una rete di comunicazione elettronica, o nella misura
strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini
della determinazione delle modalità semplificate di cui al primo periodo il Garante
tiene anche conto delle proposte formulate dalle associazioni maggiormente
rappresentative a livello nazionale dei consumatori e delle categorie economiche
coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino
l'effettiva consapevolezza del contraente o dell'utente.
2. Ai fini dell'espressione del consenso di cui al comma 1, possono essere utilizzate
specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e
chiara utilizzabilità per il contraente o l'utente.
2-bis. Salvo quanto previsto dal comma 1, è vietato l'uso di una rete di
comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio
terminale di un contraente o di un utente, per archiviare informazioni o per
monitorare le operazioni dell'utente”.
WEB, trattamenti
Deve essere indicato chiaramente:
1) che il sito utilizza cookie di profilazione per inviare messaggi
pubblicitari mirati;
2) che il sito consente anche l'invio di cookie di "terze parti", ossia
di cookie installati da un sito diverso tramite il sito che si sta
visitando;
3) un link a una informativa più ampia, con le indicazioni sull'uso
dei cookie inviati dal sito, dove è possibile negare il consenso alla
loro installazione direttamente o collegandosi ai vari siti nel caso
dei cookie di "terze parti";
4) l'indicazione che proseguendo nella navigazione (ad es.,
accedendo ad un'altra area del sito o selezionando
un'immagine o un link) si presta il consenso all'uso dei cookie
Informativa Breve, cookie
Consenso
Cookie e consenso
Nel medesimo spazio dell'informativa estesa deve essere
richiamata la possibilità per l'utente (alla quale fa
riferimento anche l'art. 122, comma 2, del Codice) di
manifestare le proprie opzioni in merito all'uso dei cookie
da parte del sito anche attraverso le impostazioni del
browser, indicando almeno la procedura da eseguire per
configurare tali impostazioni.
Qualora, poi, le tecnologie utilizzate dal sito siano
compatibili con la versione del browser utilizzata
dall'utente, l'editore potrà predisporre un collegamento
diretto con la sezione del browser dedicata alle
impostazioni stesse.
Profilazione
Cookie e Profilazione
L’uso dei cookie rientra tra i trattamenti soggetti all'obbligo
di notificazione al Garante ai sensi dell'art. 37, comma 1,
lett. d), del Codice, laddove lo stesso sia finalizzato a
"definire il profilo o la personalità dell'interessato, o ad
analizzare abitudini o scelte di consumo, ovvero
a monitorare l'utilizzo di servizi di comunicazione
elettronica con esclusione dei trattamenti tecnicamente
indispensabili per fornire i servizi medesimi agli utenti".
Cosa è il CLOUD?
Cloud
Con il termine cloud computing, o semplicemente cloud, ci si riferisce a
un insieme di tecnologie e di modalità di fruizione di servizi informatici che favoriscono l’utilizzo e l’erogazione di software, la possibilità di
conservare e di elaborare grandi quantità di informazioni.
Il cloud offre, a seconda dei casi, il trasferimento della conservazione o
dell’elaborazione dei dati dai computer degli utenti ai sistemi del
fornitore.
Il cloud consente, inoltre, di usufruire di servizi complessi senza doversi
necessariamente dotare né di computer e altri hardware avanzati, né
di personale in grado di programmare o gestire il sistema.
Tutto può essere demandato all’esterno, in outsourcing, e a un costo
potenzialmente limitato, in quanto le risorse informatiche necessarie per
i servizi richiesti possono essere condivise con altri soggetti che hanno le
stesse esigenze.
Esempi?
Cloud
Spesso utilizziamo tecnologie cloud senza neppure saperlo. Alcuni dei
più diffusi servizi di posta elettronica o di elaborazione testi sono “sulle nuvole”.
Anche molte delle funzioni offerte dai cellulari di nuova generazione (i
cosiddetti smartphone) sono basate sul cloud: ad esempio quelle che
sfruttano la geolocalizzazione consigliandoci i locali o gli esercizi
commerciali più vicini, che consentono di ascoltare musica o di
accedere a giochi on line, nonché tante altre funzioni e
“app”(applicazioni).
Google Docs è in cloud
Office 365 è in cluod
TRE MODELLI DI SERVIZI CLOUD
Cloud
Cloud Infrastructure as a Service - IaaS
(infrastruttura cloud resa disponibile come servizio)
Il fornitore del servizio cloud offre, secondo un modello “a consumo”, gli strumenti hardware e
software di base.(spazi di memoria, sistemi operativi, programmi di virtualizzazione…), cioè server virtuali
remoti che l’utente finale può utilizzare in sostituzione o in affiancamento ai sistemi già presenti nei locali
dell’azienda o dell’amministrazione.Tali fornitori sono in genere operatori di mercato
specializzati, che dispongono di un’infrastruttura tecnologica, complessa e spesso distribuita in aree
geografiche diverse.
Cloud Software as a Service - SaaS
(software erogato come servizio del cloud)
Il fornitore eroga via Internet una serie di servizi applicativi ponendoli a disposizione degli utenti
finali.Si pensi, ad esempio, ad applicazioni comunemente usate negli uffici erogate in modalità web
quali l’elaborazione di fogli di calcolo o di testi, la gestione del protocollo e delle regole per l’accesso
informatico ai documenti, la rubrica dei contatti e i calendari condivisi, ma anche ai più
avanzati servizi di posta elettronica.
Cloud Platform as a Service - PaaS
(piattaforme software fornite via Internet come servizio)
Il fornitore offre soluzioni evolute di sviluppo software che rispondono alle specifiche esigenze del
cliente. In genere questo tipo di servizi è rivolto a operatori di mercato che li utilizzano per sviluppare e
ospitare soluzioni applicative proprie (ad esempio applicativi per la gestione finanziaria, della contabilità
o della logistica), allo scopo di assolvere a esigenze interne, oppure per fornire a loro volta servizi a terzi.
Anche nel caso dei PaaS, il servizio erogato dal fornitore limita la necessità per il fruitore di doversi
dotare internamente di strumenti hardware o software specifici o aggiuntivi.
Implicazioni Privacy?
Cloud
Nel momento in cui un titolare in un trattamento (l’azienda, l’ente,
l’associazione) usufruisce di un servizio in CLOUD trasferisce in parte o del tutto i sui dati ed il relativo trattamento ad un fornitore esterno.
Diventa quindi obbligatorio come specificato anche dal Garante
Privacy che i titolare del trattamento designi il fornitore o come
Responsabile al trattamento o ci sia un contratto di affidamento dati in
cui il fornitore si impegna non solo a seguire la normativa Italiana sulla
privacy ma se ne assuma le responsabilità penali e civili.
Questo significa che il Titolare del Trattamento (cliente) dovrà sempre
prestare molta attenzione a come saranno utilizzati e conservati i dati
personali caricati sulla “nuvola”: in caso di violazioni commesse dal
fornitore, anche il titolare sarà chiamato a rispondere dell’eventuale
illecito.
Ma io sono piccolino?
Cloud
Il Titolare (cliente) di ridotte dimensioni, come una piccola impresa o un
ente locale, potrebbe tuttavia incontrare difficoltà nel contrattare adeguate condizioni per la gestione dei dati spostati “sulla nuvola”.
Anche in questo caso, non sarà però sufficiente, per giustificare una
eventuale violazione, affermare di non avere avuto possibilità di
negoziare clausole contrattuali o modalità di controllo più stringenti. Il
cliente di servizi cloud, infatti, può sempre rivolgersi ad altri fornitori che
offrono maggiori garanzie, in particolare per il rispetto della normativa
sulla protezione dei dati.
Implicazioni
Cluod
Cosa succcede se un fornitore Cloud non permette la nomina a
responsabile o non ha adeguate clausole contrattuali di affidamento?
Semplice mi assumo Io come titolare del trattamento anche le sue
responsabilità. A fronte di un illecito derivato dal provider cloud che ha
portato ad un risarcimento o ad una sanzione me ne assumerò
direttamente la responsabilità.
È importante quindi
valutare l’idoneità delle condizioni contrattuali per l’erogazione del
servizio di cloud con particolare riferimento agli obblighi e alle
responsabilità in caso di perdita e di illecita diffusione dei dati custoditi
nella “nuvola”, nonché alle eventuali modalità per il recesso dal servizio
e il passaggio ad altro fornitore.
Garanzie di qualità chiare, corredate da penali, che pongano a carico
del fornitore le eventuali inadempienze o le conseguenze di determinati
eventi (ad es. accesso non consentito
??? Quindi io che non sono un tecnico???
Cosa Fare
Fare le domande giuste
Avere il controllo sui dati.
Avere una lista di attività che preservino i
trattamenti
Centralizzare per quanto possibile il controllo
Verificare i fornitori
Privacy by Design
ignoranti quem portum petat nullus suus ventus est
Nessun vento è favorevole per il marinaio che non sa a quale
porto vuol approdare
'ogh
Grazie !