IT e dintorni

Cloud computing in Europa: i risultati della consultazione pubblica

2011-12-13T10:02:00.001+01:00

Di recente sono stati pubblicati i risultati di una consultazione pubblica sul fenomeno del cloud computing in Europa; da tale documento si possono trarre importanti osservazioni su quale sia la percezione che aziende e singoli individui hanno di tale fenomeno, soprattutto dal punto di vista delle questioni legali e della protezione dei dati personali (privacy).

Da un campione di 538 intervistati, 230 dei quali rappresentati da aziende, ed il resto da individui, accademici, istituzioni ed altri soggetti, emerge una situazione di generale incertezza nell’attuale quadro normativo europeo di riferimento, alla quale si sommano le inevitabili diversità con le quali i singoli stati membri hanno adottato, nei rispettivi ordinamenti, la legislazione europea.

A questo si aggiunge una mancanza di chiarezza sui diritti delle parti e le responsabilità dei fornitori di servizio che può generare ambiguità nella gestione di quelle tipiche situazioni “transfrontaliere” o “oltre confine”, del tutto normali per una infrastruttura di tipo globale e distribuito, come appunto quella che supporta i servizi in cloud.

Le ragioni alla base di tale percezione di incertezza sono riconducibili fondamentalmente ad una serie di fattori:

la mancanza di consapevolezza negli intervistati: molti ammettono di non sapere neanche da dove iniziare per acquisire informazioni utili;
la complessità delle problematiche, soprattutto per quanto riguarda le responsabilità, che dipendono non soltanto dalle clausole contrattuali ma anche da regole normative obbligatorie (es. quelle in materia di protezione dei dati personali), la cui applicazione non può essere disattesa per contratto;
le variabili legali (es. obblighi contrattuali, legislazione penale, protezione dei dati personali, ecc…) che determinano la giurisdizione applicabile;

Questi risultati lasciano spazio per due considerazioni: la prima è che, soprattutto le imprese, hanno bisogno del supporto di una consulenza specifica in materia, ma faticano a trovarla (o forse ritengono erroneamente di poterne fare a meno ?); la seconda è la necessità di armonizzare le differenti legislazioni, sia a livello europeo che internazionale.

Il report conclude evidenziando una forte condivisione sulla necessità di predisporre a livello europeo linee guida, checklist, nonchè modelli di livelli di servizio (Service Level Agreement) ragionevoli e condizioni contrattuali (End User Agreement) semplici e chiare; oltre naturalmente ad una revisione dell’attuale quadro normativo che possa facilitare l’espansione del modello cloud preservando al tempo stesso la protezione e la riservatezza dei dati personali.

Approfondimenti

SaaS (Clooud Computing): aspetti legali e di compliance

Impresa, tecnologia ed informazioni: rischi e considerazioni legali

2011-06-24T08:47:00.001+02:00

Le imprese oggi si trovano a doversi interfacciare, a vari livelli, con la tecnologia e gli strumenti, per gestire quantitativi sempre più ingenti di dati ed informazioni rilevanti nel contesto o per l’andamento aziendale.

Se da un lato è pressoché impossibile rinunciare al ruolo strategico e di supporto che il binomio tecnologia ed informazioni garantisce nella ottimizzazione delle attività aziendali e, quindi, nel mantenimento di adeguati livelli di competitività, efficienza e sviluppo, dall'altro non si può dimenticare che questi vantaggi hanno dei costi, di cui si tende spesso a considerare la sola componente economica.

In realtà, però, i costi hanno anche una dimensione in termini di acquisizione di consapevolezza, organizzazione e gestione; infatti, è difficile poter parlare di vantaggi se strumenti ed informazioni vengono utilizzati in modo non adeguato, esponendo l'organizzazione a rischi inutili, tra cui quelli di natura tecnologica (es. violazioni della riservatezza delle informazioni, ecc...) e legale (es. non conformità, inadempimenti contrattuali, richieste risarcitorie, ecc...).

Perciò questa considerazione mi offre lo spunto per provare a delineare in modo schematico, senza alcuna pretesa di esaustività, le questioni di natura legale che una impresa informatizzata si trova, inevitabilmente, a dover fronteggiare se vuole beneficiare dei vantaggi della tecnologia, proteggendo nel contempo se stessa ed il valore delle informazioni che detiene e gestisce. Mi riferisco principalmente ad aspetti nei quali la gestione delle informazioni e/o l'uso della tecnologia comportano:

obblighi di compliance, cioè conformità a leggi, regolamenti, standard di settore o accordi tra le parti;
oneri particolari di tutela nei confronti dei soggetti attraverso i quali l'azienda opera (es. dipendenti) o con i quali interagisce (es. fornitori, clienti, competitors, pubblica amministrazione, ecc...);

Partendo da una classificazione per macroaree, si possono individuare i seguenti domini applicativi:

privacy: uso delle risorse aziendali (es. internet, posta elettonica, telefonia mobile e fissa), SaaS, cloud computing, biometria, videosorveglianza, RFID, geolocalizzazione, voip, marketing, social networks;
tutela della reputazione: protezione del brand online (es. name squatting);
contrattualistica: outsourcing, accordi sui livelli di servizio (Service Level Agreement, SLA), SaaS, cloud computing, social media marketing, accordi di riservatezza (Non-Disclosure Agreement, NDA), connettività Internet, telefonia, voip, fornitura e manutenzione dell'hardware, sviluppo, fornitura e manutenzione del software;
informazioni aziendali: protezione delle informazioni segrete (es. know-how);
proprietà intellettuale:diritto d'autore (es. contenuti online, prodotti audio/visivi, software, Digital Rights Management, ecc...);
proprietà industriale: marchi, brevetti, disegni e modelli;
rapporti con la pubblica amministrazione digitale: posta elettronica certificata, conservazione sostitutiva dei documenti, fatturazione elettronica;
responsabilità amministrativa: prevenzione dei reati informatici e di quelli contro il diritto d'autore, modelli organizzativi e di controllo;

Photo courtesy: darktaco

Telemarketing: il registro ed il regime delle chiamate indesiderate

2011-06-13T18:03:00.002+02:00

Un altro tassello si è aggiunto di recente alla complessa regolamentazione del fenomeno del telemarketing dal punto di vista della privacy, a seguito dell'entrata in funzione del registro delle opposizioni, di cui alla normativa del DPR 178/2010.

La funzione primaria di tale registro, gestito da un entità terza, è quella di un meccanismo per tutelare i dati personali di chi non desidera essere disturbato da telefonate pubblicitarie, senza per questo compromettere eccessivamente gli interessi economici delle aziende che operano in questo settore o che scelgono di avvalersi di questa forma di marketing.

Si tratta quindi del meccanismo specifico attraverso il quale viene data attuazione ad una riforma del settore, già introdotta con la legge 166/2009, che ha determinato il passaggio da un sistema basato sul consenso preventivo (opt-in) ad uno basato, invece, sulla manifestazione espressa di un diniego (opt-out).
Infatti, a partire dal 31 gennaio 2011, gli abbonati che non desiderano più ricevere chiamate telefoniche con operatore, per l'invio di materiale pubblicitario, vendita diretta, ricerche o comunicazioni commerciali, devono iscriversi in tale registro con una delle modalità previste (web, email, fax, telefono).
A questo registro si affianca inoltre un provvedimento dell'autorità garante della privacy che ha fissato dei limiti precisi, proprio per garantire il rispetto della volontà dei cittadini da parte degli operatori.

Ambito di applicazione

Partiamo intanto dalla considerazione dei soggetti coinvolti che sono, da un lato, l'abbonato, cioè:

"qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi telefonici accessibili al pubblico per la fornitura di tali servizi, o destinatario di tali servizi anche tramite schede prepagate, la cui numerazione sia comunque inserita negli elenchi [...] ";

e dall'altro l'operatore:

"qualunque soggetto, persona fisica o giuridica, che, in qualita' di titolare [...]intenda effettuare il trattamento dei dati [...] per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l'impiego del telefono";

L'iscrizione nel registro e le nuove regole si applicano solo alle numerazioni riportate negli elenchi di abbonati, perciò, fermo restando questi limiti, è ora stabilito che:

gli operatori di telemarketing non possono più contattare i numeri telefonici degli abbonati iscritti nel registro;
se un operatore ha già ricevuto il consenso di un abbonato a ricevere telefonate promozionali, potrà continuare a contattarlo, anche se iscritto nel registro. Però il consenso precedentemente acquisito dovrà essere documentabile per iscritto e sarà, comunque, liberamente revocabile in qualsiasi momento;
se un abbonato ha chiesto di non essere più disturbato da telefonate, l'operatore dovrà rispettare la sua volontà, anche se non iscritto nel registro;

Per quanto riguarda invece il trattamento di dati aventi una origine differente dagli elenchi degli abbonati, risulta che:

per le numerazioni derivanti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, il trattamento è possibile, in assenza del consenso dell'interessato, solo se una specifica disciplina preveda espressamente le attività di comunicazioni telefoniche per le finalità di invio di materiale pubblicitario, vendita diretta, ricerche o comunicazioni commerciali, oppure se tali comunicazioni siano direttamente funzionali all'attività svolta dall'interessato, sempreché non vi sia stata o sia manifestata opposizione al trattamento;
per le numerazioni contenute in banche dati comunque formate (fuori dei casi di cui al punto precedente), il trattamento è possibile nel rispetto dei principi generali e, quindi, previo rilascio di una idonea informativa e l'acquisizione dello specifico consenso;

Esclusioni

L'entrata in funzione del registro non pregiudica le regole vigenti in materia di pubblicità effettuata attraverso la posta tradizionale o con strumenti diversi dal telefono (es. posta elettronica, telefax, messaggi del tipo Mms o Sms, chiamate automatizzate senza operatore), per la quale continua ad applicarsi il principio della richiesta di un consenso preventivo e informato del destinatario della comunicazione.

Sanzioni

Per la mancata osservanza delle prescrizioni dell'autorità è prevista l'applicazione di una sanzione da 30mila a 180mila euro e, nei casi più gravi, fino a 300mila euro.

Photo coutesy: igordeniro

Pubblicità comportamentale online: quali regole per la privacy ?

2011-06-13T17:57:00.004+02:00

Tra le varie forme di pubblicità esistenti, quella "online" rappresenta, senza dubbio, un segmento molto dinamico ed importante per lo sviluppo di un economia legata alla rete Internet.

Esistono, però, degli aspetti di legalità da considerare, soprattutto per quanto riguarda la cd. pubblicità comportamentale, termine con il quale si indica il tracciamento degli utenti in rete, attuato con lo scopo di derivare dall'osservazione delle loro azioni un profilo comportamentale che funga da base per la trasmissione di messaggi pubblicitari "personalizzati" [...]

A causa della invasività delle principali tecniche di tracciamento, nonchè della loro, pressocchè totale, invisibilità per gli utenti, questa pratica presenta aspetti che possono incidere significativamente sulla protezione dei dati personali e della vita privata perchè, almeno potenzialmente, offre la possibilità di ricostruire, in modo molto dettagliato, le attività online degli interessati, a totale insaputa di questi ultimi.
Per questo motivo essa viene presa in grande considerazione da tutti i legislatori e le autorità di protezione nazionali ed europei; proprio in questo ambito, il gruppo di lavoro dell'articolo 29 della direttiva 95/46/CE (l'organismo rappresentativo delle autorità di protezione europee), ha adottato nel 2010 un parere che fornisce un quadro giuridico di riferimento abbastanza articolato.

Tecniche e strumenti di tracciamento

Sono per lo più basati sull'elaborazione lato client delle informazioni derivanti da motori di ricerca e dall'apparecchiatura terminale dell'utente, con una predominanza dei cd. cookies, frammenti di testo memorizzati e, successivamente, recuperati dal sistema dell'utente con lo scopo di alimentare ed identificare il profilo comportamentale di quest'ultimo.

Dei cookies si è occupata recentemente anche ENISA - Agenzia Europea per la sicurezza delle informazioni e della rete - con un documento ufficiale (in lingua inglese) intitolato "Bittersweet cookies. Some security and privacy considerations".

Inoltre esistono anche i cd. flash cookies, la cui adozione è in forte aumento perchè consentono di superare le limitazioni insite nella cancellazione (al momento della chiusura del browser) o nel rifiuto (attraverso le impostazioni di privacy) dei cookies tradizionali; tra l'altro, i flash cookies non possono essere cancellati mediante le impostazioni tradizionali di privacy di un web browser, essendo la loro gestione separata e, come tale, poco conosciuta dagli utenti non esperti (vedi Come cancellare i flash cookies dal proprio sistema).

Le regole applicabili

Secondo l'interpretazione fornita, la pubblicità comportamentale soggiace alle disposizioni delle direttive e-privacy (2002/58/CE) e privacy (95/46/CE) o, meglio, della relativa normativa italiana di attuazione, vale a dire il T.U privacy (D.Lgs. 196/2003). Peraltro, la direttiva e-privacy è stata modificata dalla recente direttiva 2009/136/CE che dovrebbe ricevere attuazione nel territorio italiano entro la data del 25 maggio 2011.

Partendo dalla direttiva e-privacy (art. 5, par. 3), risulta che per memorizzare od accedere lecitamente ad informazioni archiviate nell'apparecchiatura terminale di un utente sia necessario il consenso preventivo ed informato dell'interessato.

Le informazioni cui si fa riferimento possono essere di qualsiasi tipo (es. cookies), e non necessariamente dati di natura personale, poichè l'obbligo opera in funzione generica di protezione di un aspetto della vita privata; questo spiega anche il perchè tale obbligo non si applichi soltanto ai servizi di comunicazione elettronica, ma ad ogni altro servizio che si avvalga di tecniche similari.

Quando poi le informazioni raccolte con i cookies od altri simili dispositivi sono di natura personale, si applicano, in aggiunta, i dettami della direttiva privacy (95/46/CE), tra cui vi sono i principi relativi ai diritti degli interessati, alla qualità dei dati, alla sicurezza dei trattamenti ed ai limiti per il trasferimento internazionale dei dati.

Un ulteriore aspetto è quello riguardante l'ambito territoriale di applicazione, in particolare:

la tutela offerta dalla direttiva 2002/58/CE riguarda le informazioni conservate nell'apparecchiatura terminale degli interessati che utilizzano reti di comunicazione pubbliche nell'unione europea;
la tutela offerta dalla direttiva 95/46/CE riguarda: a) il trattamento dei dati personali effettuato nell'ambito delle attività di un responsabile del trattamento, stabilito nel territorio dell'unione europea; b) il trattamento dei dati personali effettuato da un responsabile del trattamento che, pur non essendo stabilito nel territorio dell'unione europea, ricorre, ai fini del trattamento stesso, a strumenti situati in tale territorio;

Nel parere si evidenzia, da un lato, l'assoluta inadeguatezza degli strumenti tradizionali offerti dal browser, basati sul rifiuto preventivo e generalizzato dei cookies, e, dall'altro, l'opportunità di implementare, anche con la cooperazione dei produttori di software, meccanismi incentrati su un azione positiva dell'utente, dalla quale risulti la sua volontà di ricevere cookies e di accettare il relativo monitoraggio delle attività online, con lo scopo di ricevere messaggi pubblicitari personalizzati.

Per quanto concerne invece gli obblighi informativi, sul rispetto dei quali si basa la validità del consenso, si considera insufficiente la semplice menzione dell'uso della pubblicità comportamentale all'interno delle condizioni generali del sito e/o dell'informativa privacy; occorre, piuttosto, che agli utenti sia comunicato, in modo chiaro e semplice: a) chi è il responsabile del trasferimento dei cookies e della raccolta delle informazioni, b) il fatto che i cookies sono utilizzati per creare profili dell'utente, c) il tipo di informazioni raccolte, d) l'utilizzo dei profili per la trasmissione di messaggi pubblicitari personalizzati, e) la possibilità che l'utente sia identificato attraverso i cookies su diversi siti web.

Non mancano, infine, considerazioni sulla ripartizione dei profili di responsabilità tra i vari soggetti che risultano coinvolti nel circuito della pubblicità comportamentale, vale a dire i fornitori di reti pubblicitarie, gli editori e gli inserzionisti.

Photo-courtesy: Yello-Dog

Le semplificazioni privacy per le aziende nel decreto sviluppo

2011-06-06T18:36:00.056+02:00

Alcune novità sono state introdotte con il recente decreto per lo sviluppo per la semplificazione di alcuni aspetti concernenti gli adempimenti connessi con il rispetto della normativa sulla privacy, tra cui ricordiamo:

il trattamento dei dati tra imprese ed altre persone giuridiche per le sole finalità amministrativo-contabili, non è più soggetto agli obblighi del T.U privacy;
l'informativa sul trattamento non è più necessaria nel caso di curricula inviati spontaneamente dai candidati ed il trattamento dei relativi dati può avvenire anche senza consenso;
l'obbligo del documento programmatico sulla sicurezza è sostituito con l'obbligo di una autocertificazione per i titolari che trattano soltanto dati personali non sensibili e, come unici dati sensibili e giudiziari, quelli relativi ai propri dipendenti e collaboratori, al lori coniuge o parenti;
l'utilizzo della posta cartacea per finalità di marketing e promozionali è consentito solo nei confronti di chi non vi si opponga mediante l'iscrizione in un registro pubblico di opposizione;

View more presentations from Stefano Bendandi

La digitalizzazione degli studi legali

2011-03-04T09:27:00.001+01:00

View more presentations from Stefano Bendandi

La protezione dei dati personali: chiarimenti sulla normativa europea applicabile

2011-01-25T18:20:00.001+01:00

Il gruppo di lavoro dell'art. 29 della direttiva 95/46/CE ha emesso il parere 8/2010 per fornire ulteriori chiarimenti sull'applicazione della normativa UE in materia di protezione dei dati personali, all'interno e al di fuori dello spazio economico europeo.

Lo scopo è quello di garantire una migliore certezza giuridica, offrendo un quadro più chiaro per i diretti interessati, anche mediante esempi pratici utilizzati a supporto dei charimenti, ad esempio nel contesto delle basi dati HR (Human Resources) centralizzate, dei servizi di geolocalizzazione, del cloud computing, delle reti sociali, ecc...

Continua a leggere...»

Privacy: ecco le regole per l'informazione giuridica

2011-01-10T15:37:00.000+01:00

Regole più chiare per la pubblicazione di sentenze e provvedimenti giurisdizionali su riviste giuridiche, cd rom, siti istituzionali; questo è il contenuto delle linee guida emanate dall'autorità garante della privacy.

Le nuove norme impattano sull'attività di informazione giuridica intesa come:

attività di riproduzione e diffusione di sentenze o altri provvedimenti giurisdizionali in qualsiasi forma, per finalità di informazione giuridica, ovvero di documentazione, studio e ricerca in campo giuridico, su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica, compresi i sistemi informativi e i siti istituzionali dell'Autorità giudiziaria

Risultano invece esclusi i trattamenti di dati personali compiuti per ragioni di giustizia , nonchè quelli compiuti nell'esercizio dell' attività giornalistica .

Nei limiti sopra precisati, gli orientamenti formulati si applicano indifferentemente a qualsiasi soggetto, pubblico o privato, compresi gli editori di riviste giuridiche specializzate, che svolge attività di " riproduzione di sentenze e altri provvedimenti giurisdizionali, su supporti cartacei e informatici, nonché mediante reti di comunicazione elettronica".

Il riferimento esplicito alle reti di comunicazione elettronica (es. Internet) quali mezzi per la riproduzione o la diffusione di sentenze ed altri provvedimenti giurisdizionali, implica la conseguente assoggettabilità di siti web, blog ed altre risorse come, ad esempio, le reti sociali, alle regole poste a tutela dei diritti degli interessati.

Queste regole consistono nel rendere anonimi i dati personali degli interessati (es. parte di un processo civile o imputato di un processo penale) e degli altri soggetti (es. testimone, consulente) che sarebbero identificabili mediante la sentenza od il provvedimento. Differenti sono però le modalità attraverso le quali il processo di "anonimizzazione" dei dati può essere attivato (art. 52 T.U Privacy, D.Lgs. 196/03).

Anonimato su richiesta di parte

L'interessato deve presentare una apposita istanza all'ufficio giudiziario dinanzi al quale si svolge il procedimento, prima che quest'ultimo venga definito con sentenza.
L'istanza deve contenere l'esplicita richiesta di riportare, a cura della cancelleria o segreteria, una annotazione che specifichi che, in caso di riproduzione della sentenza o del provvedimento, non può essere riportata l'indicazione delle generalità e di ogni altro dato idoneo ad identificare direttamente il richiedente (l'inibizione riguarda solo il richiedente e non può essere estesa ad altri soggetti).
L'istanza deve essere supportata da motivi legittimi, quali la delicatezza della vicenda o la particolare natura sensibile dei dati, e viene decisa direttamente dall'autorità giudiziaria.

Anonimato disposto dall'autorità giudiziaria

E' interamente devoluto alla competenza dell'autorità giudiziaria, cui spetta l'onere di valutare attentamente se, nel caso sottoposto al suo vaglio, assumano rilevanza dati personali "dotati di particolare significatività che, se indiscriminatamente diffusi, possono determinare negative conseguenze sui vari aspetti della vita sociale e di relazione dell'interessato (ad esempio, in ambito familiare o lavorativo)", a prescindere da una richiesta specifica dell'interessato.

Obbligo generale di anonimato

Esiste un obbligo generale di diffusione dei dati dei minori e delle parti nei procedimenti giudiziari in materia di rapporti di famiglia e stato delle persone, anche se attinenti a rapporti patrimoniali od economici; trattandosi di divieto assoluto, esso non può essere superato neppure con l'eventuale consenso dell'interessato.

La disposizione riguarda soltanto le parti processuali e non gli eventuali altri soggetti (es. testimone) che, in caso di interesse all'oscuramento dei propri dati, possono richiederlo mediante istanza separata.

La tutela offerta in questo caso è più ampia perchè riguarda non soltanto le generalità e gli altri dati identificativi dei soggetti tutelati, ma "anche gli altri dati anche relativi a terzi dai quali può desumersi anche indirettamente l'identità di tali soggetti".
In questo caso il Garante ritiene opportuno, anche se non previsto espressamente, che l'autorità giudiziaria provveda d'ufficio all'annotazione dell'obbligo di anonimato, per evitare dubbi o confusioni di ogni genere.

Va infine evidenziato che non è l'ufficio giudiziario, ma chi riceve copia dei provvedimenti con l'annotazione che dispone l'oscuramento, che deve provvedere in tal senso, ove intenda riprodurli o diffonderli, anche sotto forma di massima, per finalità di informazione giuridica.

Corso di informatica giuridica accreditato dal CNF

2010-02-04T12:28:00.001+01:00

Il corso ha per oggetto i rapporti tra l’informatica e il diritto sia sotto il profilo delle applicazioni al diritto (informatica giuridica in senso stretto) sia sotto il profilo delle nuove tecnologie applicate ad esso (diritto dell’informatica).

Il corso avrà un approccio prevalentemente pratico, più che focalizzato sugli aspetti teorici.

E’ rivolto a Avvocati, Laureati in: Giurisprudenza, Economia, Informatica, Scienze dell’Informazione e Tecnologie Informatiche e coloro che hanno interesse all’argomento.

Per quanto attiene l’approccio metodologico, il corso di informatica giuridica sarà proposto nella forma di seminari in loco, secondo il programma illustrato, e si articolerà in sei (6) incontri, di 4 ore ognuno, proponendo un modulo per ciascuna sessione.

Per gli eventi formativi i relatori utilizzeranno l’approccio metodologico teorico-pratico, proponendo gli argomenti con le seguenti modalità: lezione tradizionale, illustrazione delle tematiche a mezzo slides, video o screencast delle procedure informatiche eseguite su PC.

Chi parteciperà al corso avrà la possibilità di acquisire le nozioni giuridiche e tecniche per migliorare il livello di formazione professionale sulle tematiche oggetto del corso.

Il corso è stato accreditato dal Consiglio Nazionale Forense (24 crediti formativi) e si terrà a Milano, Roma e Foggia.

Relatori: Avv. Nicola Fabiano, Avv. Stefano Bendandi, Avv. Luca D'Apollo

Per maggiori informazioni ed iscrizioni cliccare qui.

Privacy e referti medici online: le linee guida

2009-12-16T17:12:00.000+01:00

L'autorità garante della privacy ha reso note le proprie Linee guida in tema di referti online pubblicate sulla G.U. n. 288 dell'11 dicembre 2009.

Si tratta di un provvedimento il cui ambito applicativo è circoscritto alla refertazione online, cioè al servizio che offre ad un assistito la possibilità di accedere, con modalità informatiche e telematiche, alla relazione (cd. referto) che il medico rilascia a seguito di un esame di natura clinica o strumentale.

L'obiettivo di queste linee guida, articolate in più punti, è quello di prevedere delle specifiche garanzie a protezione dei dati personali dei cittadini, relativamente alle più comuni modalità con le quali le strutture sanitarie rendono disponibili online i referti medici.

Facoltatività del servizio

L'interessato deve essere libero di scegliere se avvalersi o meno del servizio di refertazione online, senza che questo pregiudichi la facoltà di usufruire delle prestazioni mediche o di continuare a ritirare i referti cartacei presso la struttura che ha erogato la prestazione.

Inoltre, l'interessato che abbia scelto di avvalersi del servizio rimane, comunque, titolare di alcune facoltà, come :

il diritto di manifestare, in occasione di ogni esame, una volontà diretta ad escludere il singolo referto dal servizio online prescelto;
la possibilità di confermare, in occasione di successivi accertamenti clinici, l'indirizzo di posta elettronica presso il quale ricevere la comunicazione del referto;
la possibilità di acconsentire alla comunicazione dei risultati diagnostici al proprio medico curante, al medico di medicina generale oppure al pediatra;

Nel caso di avvisi tramite la rete cellulare (SMS), i messaggi devono limitarsi a dare la notizia della disponibilità del referto e non possono indicare nè la tipologia dell'accertamento effettuato, nè il suo esito, nè le credenziali di autenticazione eventualmente assegnate all'interessato per l'accesso online.

Informativa e consenso

Il titolare del trattamento deve rendere all'interessato una informativa sulle caratteristiche del servizio di refertazione online, compresa in particolare la sua natura facoltativa, per consentirgli di esprimere una scelta informata e consapevole.

L'informativa, come di consueto, deve contenere le indicazioni richieste dall'art. 13 del d.lgs. 196/03 e può essere fornita contestualmente, purchè separatamente, da quella relativa al trattamento dei dati per finalità di cura.

A seguito dell'informativa il titolare deve acquisire il consenso specifico dell'interessato al trattamento dei propri dati attraverso le particolari modalità del servizio.

Archiviazione online dei referti

Nel caso in cui venga offerta anche la possibilità di archiviare e consultare online tutti i referti degli esami eseguiti presso i laboratori della stessa struttura sanitaria, il titolare deve rendere all'interessato una ulteriore informativa specifica ed acquisire un autonomo consenso.

In questo caso specifico l'autorità ritiene che tali archivi possano ricadere nella definizione di dossier sanitario, di cui si occupano le Linee guida in tema di Fascicolo Sanitario Elettronico (FSE) e di dossier sanitario e, quindi, siano soggetti alle speciali misure di sicurezza identificate in tale provvedimento.

Comunicazioni dei dati

L'abilitazione di accesso ai sistemi di refertazione online deve essere assoggettata alla cautele previste dalla disciplina vigente, anche per quanto riguarda l'intermediazione richiesta dall'art. 84 del d.lgs. 196/93 per la comunicazione dei dati concernenti lo stato di salute (provvedimento 9 novembre 2005).

Inoltre i titolari dei dati che offrono il servizio online devono tenere conto delle disposizioni che prevedono una attività di consulenza specifica da parte del personale medico in relazione alla comunicazione dei referti ed all'illustrazione del loro significato diagnostico.

Misure di sicurezza

Particolarmente corposa è la parte del provevdimento concernente le prescrizioni di sicurezza; infatti, la natura particolare dei dati e delle modalità di trattamento richiede l'individuazione e l'applicazione di misure di sicurezza idonee, ai sensi dell'art. 31 del d.lgs. 196/03, oltre a quelle minime previste dagli art. 33 e ss.

Il provvedimento individua comunque alcune misure minime, differenziandole in base a due scenari ipotizzabili in relazione alle modalità più comuni di accesso e consultazione dei referti:

consultazione tramite sito web:
- protocolli di comunicazione basati su standard crittografici, con certificazione digitale dell'identità dei sistemi che erogano il servizio (SSL o Secure Socket Layer);
- utilizzo di tecniche per evitare l'acquisizione delle informazioni contenute nel file elettronico in caso di una sua memorizzazione in sistemi di caching, locali o centralizzati, a seguito della sua consultazione online;
- sistemi di autenticazione dell'interessato, preferibilmente tramite strong authentication;
- disponibilità del referto online limitata ad un periodo massimo di 45 giorni;
- possibilità per l'utente di evitare la visibilità online o di cancellare, in modo completo o selettivo, i referti che lo riguardano;
invio tramite posta elettronica:
- spedizione del referto come allegato e non come testo accluso al corpo del messaggio (quindi, no alla modalità inline);
- protezione del file contenente il referto tramite password di apertura o chiave crittografica, rese note attraverso canali di comunicazione differenti da quelli utilizzati per la spedizione dei referti. Questa cautela particolare può essere evitata soltanto quando l'interessato ne faccia richiesta espressa e consapevole;
- convalida degli indirizzi di posta elettronica attraverso verifiche da compiere online per evitare la spedizione dei documenti riservati a soggetti diversi dal richiedente;

In aggiunta a queste misure che riguardano più direttamente le modalità di erogazione del servizio di refertazione, agli utenti devono essere fornite garanzie su:

disponibilità di sistemi di autenticazione ed autorizzazione degli incaricati, in funzione dei ruoli e delle esigenze di accesso e trattamento, con l'obbligo del ricorso all'autenticazione forte basata su biometria nel caso di dati idonei a rivelare l'identità genetica di un individuo;
separazione fisica e logica dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati trattati per finalità amministrativo-contabili;

Per non mettere a repentaglio la riservatezza dei dati vanno, infine, predisposte delle procedure per interrompere l'invio tramite posta elettronica o rendere indisponibili online i referti relativi ad un interessato che abbia comunicato il furto o lo smarrimento delle proprie credenziali di autenticazione o altre condizioni di rischio.

Direct marketing telefonico: cosa cambia con la riforma ?

2009-11-26T17:17:00.000+01:00

La legge 20 novembre 2009, n. 166 ha convertito il D.L. 25 settembre 2009, n. 135 contenente, tra le altre, nuovi disposizioni in materia di marketing telefonico sulle quali, ormai da mesi, imperversa una protesta in rete.

Il motivo di tale protesta, di cui si sono fatte portavoce anche diverse associazioni di consumatori, è insita nella portata delle norme che finiscono per incidere profondamente sulle legittime aspettative degli utenti di non essere tartassati dalle cd. comunicazioni commerciali.

La principale novità

Riguarda il principio che tutela la nostra privacy nell'ambito delle comunicazioni elettroniche (ma solo di quelle telefoniche), ed è rappresentata dal passaggio da un sistema di opt-in ad uno di opt-out.

Volendo tradurre in poche parole l'inevitabile tecnicismo, si passa da un sistema in cui il trattamento dei dati personali poteva considerarsi lecito solo con l'acquisizione del consenso preventivo dell'utente ad un altro in cui il trattamento è sempre lecito a meno che non vi sia l'opposizione espressa dell'utente. Una differenza, quindi, non trascurabile.

Per la verità c'è anche chi, giustamente, ha fatto osservare che il nuovo sistema non travolge affatto il precedente, ma lo affianca, con la conseguenza che ci troviamo di fronte ad un ibrido che si concilia male con la direttiva europea 2002/58/CE (e-privacy).

Quest'ultima, infatti, lascia gli Stati membri liberi di decidere se adottare l'uno o l'altro sistema, ma non sembra lasciare spazio ad una coesistenza di entrambi che, oltretutto, rischia di creare solo incertezza.

Tornando al testo normativo, questo stabilisce che il trattamento dei dati personali contenuti negli elenchi degli abbonati, mediante telefonate aventi la finalità di vendita diretta, di compimento di ricerche di mercato o di comunicazioni commerciali, è consentito nei confronti di chi non abbia manifestato la propria opposizione attraverso l'iscrizione della propria utenza telefonica in un apposito registro pubblico che attualmente non esiste, ma che dovrà essere istituito entro il termine di sei mesi dall'entrata in vigore della legge di conversione, avvenuta il 25 novembre 2009.

C'è però anche una ulteriore novità poichè la precedente deroga sulla privacy, di cui abbiamo già parlato, è stata differita fino al termine di sei mesi successivi alla data di entrata in vigore della legge 166/2009.

Il regime transitorio

In questo periodo di interregno, in attesa della istituzione del registro delle opposizioni, gli utenti sembrerebbero pertanto "costretti" a subire, nonostante la loro eventuale volontà contraria, il trattamento dei propri dati.

Il nuovo sistema non ha però cancellato minimamente il diritto di ogni interessato di:

opporsi in tutto od in parte al trattamento dei dati che lo riguardano a fini dell'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale

che continua ad essere previsto e che può essere esercitato, tra l'altro, senza alcuna formalità, mediante richiesta rivolta al titolare o responsabile, anche attraverso un incaricato.

Ciò vuol dire che un utente potrebbe sempre opporsi al trattamento dei propri dati e potrebbe farlo nel corso delle telefonate che riceve, non essendo richiesto il rispetto da parte sua di una particolare modalità di esercizio di questo diritto.

Anzi, dato che, per espressa previsione, l'iscrizione nel futuro registro delle opposizioni dovrebbe essere governata da "modalità semplificate", sarebbe auspicabile prevedere a carico degli operatori di telemarketing l'obbligo di raccogliere, contestualmente alle telefonate, le eventuali opposizioni degli interessati e di inoltrarle direttamente al gestore del registro per l'immediata iscrizione nello stesso, rilasciando al richiedente un identificativo univoco della transazione.

In questo modo l'onere della semplificazione dell'iscrizione nel registro sarebbe quanto meno rispettato.

Le sanzioni

La nuova legge modifica, infine, l'entità minima della sanzione amministrativa prevista per il trattamento illecito dei dati o per la mancata applicazione delle misure di sicurezza, riducendola da 20.000 a 10.000 euro.

Certo è strana l'esigenza avvertita di una modifica ad una disposizione introdotta soltanto otto mesi fa (legge 27 febbraio 2009, n. 14); purtroppo questo atteggiamento lascia intravedere la preoccupazione del legislatore di non essere troppo severo con i trasgressori nell'applicazione delle sanzioni.

In poche parole il legislatore ci manifesta chiaramente tutto il suo scetticismo sull'efficacia del futuro registro delle opposizioni nel tutelare la privacy dei cittadini, lanciando un segnale sicuramente poco rassicurante.

L'outsourcing del marketing sui social media

2009-11-09T11:21:00.000+01:00

L'evoluzione ed il continuo sviluppo dei media sociali e del Web 2.0 in generale, sta dando impulso ad una branca del marketing che, in relazione al contesto di riferimento in cui si pone, viene giustamente definita come social media marketing.

Il fine ultimo è quello di instaurare una conversazione fattiva con utenti e consumatori e di sviluppare e mantenere una visibilità sui media sociali e sulle varie comunità del Web 2.0, attraverso un approccio ed una gestione integrati dei vari canali e strumenti di comunicazione.

Le attività richieste a tal fine sono molteplici e vanno dalla gestione dei rapporti e della reputazione online, alla produzione di contenuti multimediali, fino ad arrivare, in alcuni casi, ad una gestione completa del brand.

Si tratta comunque di attività eterogenee che richiedono competenze ed approcci differenti, spesso fuori della portata della maggior parte delle aziende, non soltanto di piccole dimensioni ma anche medio grandi, tenuto anche conto della novità del settore e della sua stretta integrazione con le tecnologie ICT.

Senza dimenticare, poi, il tempo e gli sforzi necessari per pianificare, progettare ed attuare una campagna di marketing di successo; non è quindi un mistero la nascita di un mercato che fa leva sulla possibilità di affidare all'esterno (outsourcing), a società o liberi professionisti specializzati, l'esecuzione di tali attività per conto terzi.

Del resto la pratica dell'outsourcing si adatta perfettamente a questo tipo di esigenza, in quanto permette alle imprese di dedicare tempo e risorse alle sole attività direttamente riconducibili al suo core business, con conseguenti risparmi sui costi operativi.

Ci sono però alcune considerazioni da fare, legate soprattutto al coinvolgimento di soggetti esterni nello svolgimento di attività complesse che pongono, a volte, questioni delicate, oltre al fatto che l'esternalizzazione crea, di regola, un rapporto stretto e vincolante tra le parti che richiede, perciò, una adeguata regolamentazione contrattuale.

Offerta dei servizi ed aspetti legali

L'offerta incentrata sulla gestione in outsourcing del social media marketing si articola in una serie di servizi che normalmente abbracciano:

gestione dei blog;
creazione di contenuti / prodotti audio/visivi / design di siti web;
ottimizzazioni delle pagine web per i motori di ricerca (SEO);
ottimizzazioni delle pagine sui media sociali;
gestione dei profili sulle piattaforme di social networking;
gestione della reputazione online;
gestione del brand online;
direct marketing con strumenti elettronici;
trasferimento di know-how;

Questa lista non ha la pretesa di essere esaustiva, ma serve solo come base di partenza per comprendere che lo svolgimento di queste ed altre attività può, in realtà, sollevare alcune questioni, non sempre immediatamente percepibili, concernenti:

la tutela della proprietà intellettuale / diritto d'autore (es. creazione di contenuti, prodotti audio/visivi, design, ecc...);
la tutela dei dati personali / privacy (es. gestione dei profili online, direct marketing con strumenti elettronici, gestione della reputazione online);
la tutela dei segni distintivi (es. gestione del brand online);
la responsabilità dei risultati da parte del fornitore;
la tutela delle informazioni aziendali riservate (es. know how);

Si tratta, ovviamente, solo alcuni esempi diretti a stimolare una attenta riflessione; il vero punto cruciale, però, è che l'outsourcing rappresenta una modalità di gestione aziendale caratterizzata, spesso, da complessità operative e di rapporti che richiederebbero la presenza di appositi correttivi e di una disciplina contrattuale articolata e coerente con le finalità che si intendono perseguire.

Non sempre, invece, questo si verifica, con inevitabili grattacapi e preoccupazioni che finiscono per annullare del tutto i vantaggi derivanti dalla esternalizzazione delle attività.

Photo courtesy: spekulator

Privacy: le registrazioni audio degli ordini sono dati personali

2009-10-12T10:46:00.001+02:00

Anche i suoni e le immagini costituiscono dati personali secondo la normativa del d.lgs. 196/03 (codice privacy) e possono quindi ritenersi oggetto dei diritti degli interessati, tra cui quello di accesso.

E' questa la sostanza di un provvedimento con il quale il garante della privacy ha ordinato ad una società telefonica di mettere a disposizione di un consumatore la registrazione audio di un precedente colloquio telefonico comprovante l'attivazione di un contratto e l'adesione alle sue clausole.

Secondo l'autorità, infatti, la richiesta di accesso formulata dall'interessato non poteva dirsi integralmente soddisfatta mediante la semplice trasposizione su altro supporto dei dati personali forniti nel corso del precedente contatto telefonico, essendo necessaria anche la trasmissione di una copia della registrazione, unico mezzo in grado di consentire l'accesso al dato vocale di natura personale.

Brand protection, privacy e sicurezza: qual'è il loro ruolo ?

2009-10-07T12:48:00.000+02:00

La tecnologia svolge ormai una funzione cruciale anche per lo sviluppo del brand poichè è uno dei fattori abilitanti che consente di arricchire e differenziare l'esperienza degli utenti nei confronti dei prodotti o dei servizi che esso rappresenta.

Per supportare pienamente esperienze di tipo personalizzato la tecnologia deve, però, offrire funzionalità sempre più in linea con le aspettative e le preferenze degli individui e questo richiede, spesso, l'acquisizione e l'elaborazione di una discreta quantità di informazioni, tra cui vanno ricomprese anche quelle di natura personale.

Parlando di dati personali è naturale rivolgere l'attenzione agli aspetti concernenti la loro riservatezza (privacy): le persone cominciano ad essere sempre più attente alle modalità con le quali i propri dati vengono raccolti, custoditi ed utilizzati, compresa la loro eventuale comunicazione a terzi.

Perciò, se è vero che la tecnologia esplica un ruolo rilevante nel modellare l'esperienza degli utenti, allora le conseguenze che ne derivano sul piano pratico hanno un impatto significativo sulla loro fiducia complessiva e, di conseguenza, sul brand, dato che quest'ultimo è intimamente legato a concetti quali la fiducia, la sicurezza, l'affidabilità, ecc...

A tale proposito possiamo individuare alcuni degli aspetti più critici riguardanti:

l'acquisizione dei dati personali;
la privacy e la sicurezza dei dati, sia interna che esterna;
il fenomeno delle frodi online;

Acquisizione dei dati personali

Esistono svariati meccanismi di acquisizione delle informazioni online, alcuni visibili altri meno; ad esempio quello dei cookie è probabilmente uno dei più controversi per una serie di ragioni, tra cui la quantità di informazioni che permettono di raccogliere, la loro invisibilità, la possibilità di costruire dei profili utente molto dettagliati, ecc...

Tralasciando le considerazioni sul rispetto delle normative esistenti, ciò che acquista importanza agli occhi degli utenti è la trasparenza degli intenti e dei comportamenti.

Trasparenza significa innanzitutto rendere nota (es. mediante una privacy policy) l'esistenza di certi meccanismi e la natura delle informazioni raccolte, oltre a darne una valida motivazione che, nella maggior parte dei casi, potrà anche essere lecita ma va pur sempre dichiarata.

Il rischio di una mancanza di chiarezza, a prescindere dalla buona fede, è infatti quello di lasciar trapelare forme di utilizzo della tecnologia "furbesche" od inappropriate e di indebolire la fiducia degli utenti con inevitabili ripercussioni sull'immagine del brand.

Privacy e sicurezza delle informazioni

Via via che la tecnologia avanza ed il canale online si va affermando come elemento strategico su cui costruire visibilità e relazioni, nonchè come valida alternativa al commercio tradizionale, aumentano, purtroppo, i fenomeni legati alla criminalità informatica.

Si tratta di fenomeni spesso favoriti dalla mancanza o dalla scarsità di misure protettive che producono effetti di grande impatto sul business, come la perdita di confidenzialità o di disponibilità delle informazioni, contribuendo a distruggere la fiducia che gli utenti ripongono, non solo nella tecnologia, ma anche nel brand.

La salvagardia delle informazioni, comprese quelle di natura personale, durante il loro intero ciclo di vita, rappresenta una pietra miliare nell'assicurare la sopravvivenza e la prosperità del business.

Per garantirla le organizzazioni devono sviluppare una propria consapevolezza interna, adottare le misure di sicurezza più adeguate in base ai rischi, revisionarle periodicamente ed esportare, infine, lo stesso atteggiamento proattivo all'esterno, nei confronti dei propri produttori, fornitori, distributori, agenti, ecc...

Nel momento in cui questi ultimi si presentano ed agiscono come "partner ufficiali" essi diventano una specie di estensione del brand, sul quale finiscono per proiettare inevitabilmente le conseguenze negative delle loro vulnerabilità, sia tecnologiche che organizzative.

Per impedire che ciò si verifichi è essenziale, tra le altre cose, richiedere ai propri partner il rispetto di linee guida di conformità ed esercitare gli opportuni controlli.

Frodi online

Si tratta di fatti collegati, sempre di più, ad abusi del brand perpetrati online, generalmente basati sulla indebita inclusione dei suoi elementi caratteristici (logo, nome, slogan, ecc...) nel corpo dei messaggi di posta elettronica o negli elementi strutturali (metatag, titoli, àncore, ecc...) delle pagine web (brand spoofing).

Lo scopo è ovviamente quello di vincere la naturale diffidenza degli utenti ed attrarli verso qualcosa che appare veritiero e rassicurante, inducendoli a rivelare informazioni finanziarie o personali riservate (phishing) che vengono successivamente utilizzate per commettere altri crimini (es. furti d'identità o di denaro).

Peraltro, anche se gli illeciti sono commessi da soggetti od entità non affiliate ad un brand, il fatto che quest'ultimo compaia nelle risorse utilizzate contribuisce a creare una specie di "associazione di colpevolezza", con conseguenze facilmente immaginabili.

Inoltre gli attuali rimedi tecnologici, seppure necessari, non hanno ancora raggiunto la maturità per essere da soli sufficienti a contrastare tali fenomeni.

Questo vuol dire che, oltre ad un azione di costante monitoraggio online, è necessario che le organizzazioni prendano attivamente parte ad un opera di educazione e sensibilizzazione degli utenti.

La sfida del futuro

Non è facile conciliare il crescente fabbisogno informativo di oggi con le legittime aspettative che gli utenti ripongono nella privacy e nella sicurezza dei propri dati; queste necessità sono spesso confliggenti e l'unico modo per soddisfarle entrambe è adottare un atteggiamento equilibrato nel rispetto comunque dei limiti dettati dalla legge.

Le organizzazioni che riusciranno a raggiungere tale equilibrio, pur dimostrando di essere realmente in grado di proteggere i dati dei propri clienti e partner, acquisiranno uno eccezionale vantaggio competitivo, mentre le altre saranno costrette a subire perdite di fiducia e di valore del brand, oltre a difendersi dalle iniziative legali eventualmente intraprese nei loro confronti.

Photo courtesy: dimitri_c

Internet e privacy sul luogo di lavoro: come organizzare i controlli?

2009-09-25T18:48:00.001+02:00

Traggo spunto dalla recente notizia di un provvedimento del garante della privacy, relativo ad un caso di abuso di strumenti informatici aziendali, per soffermarmi sulla questione della organizzazione dei controlli alla luce di quelle che sono ormai le linee guida per l'utilizzo di Internet e della posta elettronica in azienda.

Nel caso in esame il datore di lavoro, pur adottando un regolamento specifico e fornendo ai dipendenti istruzioni per l'uso della postazione informatica individuale, a seguito di alcuni disservizi causati sulla rete aziendale da un eccessiva attività di scaricamento dati (download), aveva allestito un sistema di monitoraggio degli accessi nei confronti di un dipendente.

Il sistema, organizzato sulla base di un proxy server con funzioni di caching abilitate, aveva permesso di svolgere, per la durata di circa nove mesi, attività di controllo che implicavano la registrazione in chiaro degli "accessi a tutti i siti web visitati […] con evidenziazione anche dei relativi domìni", realizzando una forma di trattamento inammissibile sulla base dei seguenti profili di illiceità:

la natura sistematica e continuativa del tracciamento, a causa della sua durata prolungata e della particolare estensione delle informazioni catturate, ha comportato una violazione sia dell'art. 4, comma 1, della legge 300/70 (Statuto dei lavoratori) che vieta l'impiego di apparecchiature (compresi hardware e software) per finalità di controllo a distanza dell'attività dei lavoratori, sia del principio di pertinenza e non eccedenza nella raccolta dei dati;
mancata attivazione da parte del datore di lavoro delle procedure previste dalla normativa nel caso in cui le funzionalità di controllo connesse all'utilizzo di un software siano motivate da "esigenze organizzative e produttive" (accordo con le rsu oppure autorizzazione della direzione provinciale del lavoro);

Da tali conclusioni è scaturito il provvedimento che ha disposto il divieto di ulteriore trattamento delle informazioni raccolte nel corso del monitoraggio.

Ciò, oltre alle inevitabili ripercussioni sotto il profilo delle eventuali responsabilità connesse, potrebbe comportare anche delle limitazioni relativamente alla prova dei comportamenti scorretti dei lavoratori, tali da giustificare l'applicazione di sanzioni, compresa quella del licenziamento.

Organizzazione dei controlli

Per evitare le conseguenze appena viste, è fondamentale organizzare le attività di controllo in modo conforme alle prescrizioni di legge, per cui:

non si possono installare apparecchiature, di nessun tipo, preordinate ad un controllo a distanza dei lavoratori: in questo ambito si possono far rientrare i software che, in relazione al modo in cui sono progettati e/o configurati, permettano la memorizzazione o la riproduzione delle pagine web accedute o l'esplicazione di controlli protratti nel tempo;
sono ammessi per esigenze produttive, organizzative o di sicurezza sul lavoro sistemi di controllo indiretto, ma sempre nel rispetto delle procedure di informazione e consultazione dei lavoratori e dei sindacati;

Altro aspetto da non sottovalutare è quello della gradualità delle verifiche: in linea generale i controlli dovrebbero avere per oggetto dati in forma aggregata.

Se dall'analisi di questi ultimi emergono elementi che fanno presumere utilizzi impropri o non consentiti degli strumenti aziendali, vanno emessi avvisi generalizzati, anche circoscritti a particolari aree di lavoro, con l'invito ad attenersi alle direttive aziendali.

Soltanto nel caso in cui, a seguito degli avvisi, le attività anomale non cessino sarà possibile procedere a controlli su base individuale.

SaaS (Cloud Computing): aspetti legali e di compliance

2009-09-23T08:35:00.001+02:00

Name squatting e social media: un nuovo pericolo per il brand ?

2009-09-08T12:19:00.001+02:00

Da tempo sentiamo ormai parlare di cybersquatting, termine che indica la pratica di accaparramento dei nomi di dominio corrispondenti a marchi registrati o nomi di persone famose, messa in atto generalmente con lo scopo di lucrare sulla successiva operazione di trasferimento.

Come è noto questa tecnica integra una forma particolare di abuso: la presenza del nome di un brand in un dominio internet può infatti influire sull'indicizzazione delle sue risorse da parte dei motori di ricerca, indurre confusione negli utenti, vincere la loro diffidenza e realizzare un dirottamento di traffico; tutto questo si traduce in un indebito sfruttamento della notorietà e della fiducia di cui gode un brand, con ovvie negative ricadute per il legittimo titolare, in termini sia di perdita di profitti che di valore (brand equity).

Ora, mentre anni fa questo rischio poteva dirsi circoscritto ai soli domini internet, l'attuale evoluzione verso il web 2.0 ha accresciuto, di fatto, le probabilità di un suo verificarsi.

In particolare, con la diffusione dei media sociali ed il conseguente proliferare di piattaforme liberamente disponibili per la condivisione e la generazione dei contenuti (vedi blog od altri servizi come youtube, ning, ecc...), oggi è molto facile per chiunque registrare un account con un nome, in tutto od in parte, corrispondente a quello di un brand noto, senza dover dimostrare di averne un legittimo interesse.

E proprio l'esposizione non autorizzata di un brand all'interno di questi servizi può generare fenomeni di associazione con contenuti sgraditi, se non addirittura offensivi, diffusione di false notizie, falsa rappresentazione delle caratteristiche di prodotti o servizi ed altri effetti simili a quelli derivanti dal cybersquatting, con grave pregiudizio per chi ha investito tempo e denaro nello sviluppo del brand.

Il discorso si fa poi particolarmente delicato quando ad essere coinvolti sono i social networks: qui la presenza di un vasto bacino di utenza, composto da milioni di individui, ed altri meccanismi, come quello della viralità dei contenuti, rendono ogni uso indebito una potenziale bomba ad orologeria; e non si tratta di scenari soltanto ipotetici ma di rischi reali perchè:

le possibilità di abuso non mancano, a partire dalle cd. vanity url (facebook) alla possibilità di creare pagine, gruppi o, addirittura, social network tematici (es. ning);
non tutte le organizzazioni od aziende hanno provveduto a registrare od occupare nomi o risorse corrispondenti al brand di cui sono titolari (quante ce ne sono su Facebook ? e su Twitter ?);
poche organizzazioni attuano forme di monitoraggio costante di Internet alla ricerca di potenziali abusi;
non tutte le piattaforme offrono meccanismi o procedure per ovviare ad eventuali abusi (es. reclami, processi di risoluzione delle dispute, trasferimento degli account, ecc...);

Tutti fattori che consigliano quindi una immediata presa di coscienza del fenomeno, necessaria per prevenire e fronteggiare le situazioni che si presentano nel modo più idoneo, sia dal punto di vista tecnologico che legale.

Photo credit: dimitri_c

La profilazione degli utenti dei servizi di telecomunicazione: le regole del Garante privacy

2009-07-13T18:07:00.001+02:00

Un nuovo giro di vite sui fornitori di servizi di comunicazione elettronica accessibili al pubblico in relazione alle attività di profilazione compiute sulla propria clientela tramite dati personali individuali o dati personali aggregati ricavati da quelli di dettaglio.

Con un provvedimento del 25 giugno 2009 (G.U. n. 159 11 luglio 2009) il garante è intervenuto per fare chiarezza su alcuni punti emersi nel corso di precedenti attività ispettive.

Consenso

I dati personali individuali possono essere trattati con finalità di profilazione solo se il titolare abbia rilasciato una informativa idonea (art. 13) e vi sia la possibilità di documentare, per iscritto, il consenso libero, informato e specifico del soggetto interessato (art. 23).

L'applicazione di questo principio generale vale anche e, soprattutto, nel caso in cui l'attività di profilazione richieda, per il suo svolgimento, dei dati inizialmente acquisiti per soddisfare una diversa esigenza (es. l'erogazione del servizio).

Ovviamente, una volta acquisito il consenso, esso si estenderà anche all'aventuale utilizzo dei dati in forma aggregata.

Verifica sui dati aggregati

L'aggregazione, di per sè, non trasforma i dati in anonimi, se essi conservano l'idoneità prevista dall'art. 4, comma 1, lett. b) del codice, cioè in pratica la capacità di fare riferimento ad un soggetto identificato o identificabile, anche indirettamente.

Il trattamento di questi dati, generalmente contenuti in sistemi eterogenei e conservati per far fronte ad altre esigenze, anche imposte dalla legge, può presentare per gli interessati dei rischi connessi con i livelli di aggregazione e le modalità tecniche di gestione.

Pertanto, in assenza di consenso, il titolare che intenda utilizzarli con finalità di profilazione deve inoltrare all'autorità una richiesta di verifica preliminare, secondo la procedura di cui all'art. 17 del codice, indicando specificamente i trattamenti, le finalità e le tipologie di dati da utilizzare.

Il processo di verifica verrà effettuato tenendo conto di alcuni parametri e condizioni che il garante qualifica come "minimi", tra cui:

l'impossibilità di risalire dal dato aggregato ad informazioni dettagliate concernenti l'interessato;
la separazione funzionale dei sistemi dedicati alla profilazione da quelli originari e dagli altri utilizzati per finalità differenti (es. marketing);
l'utilizzo dei dati aggregati nell'ambito di processi idonei ad impedire l'immediata identificabilità dell'interessato;
l'esistenza di un diverso e limitato profilo di autenticazione degli incaricati alla profilazione;
la conservazione per un limitato periodo di tempo, decorso il quale i dati devono essere cancellati;

Notificazione

La profilazione effettuata con gli strumenti elettronici resta, comunque, soggetta all'obbligo di notificazione (art. 37, comma 1, lett. d) che va effettuata con le modalità previste dall'art. 38.

Si segnala, infine, che le richieste di verifica preliminare dovranno essere inviate all'Autorità entro il 30 settembre 2009.

I social network si adeguino alle norme europee sulla tutela della privacy

2009-07-08T11:46:00.002+02:00

Questo è il contenuto del messaggio, neanche tanto subliminale, che emerge da un documento del gruppo dei garanti europei, di cui all'art. 29 della direttiva 95/46 sulla protezione dei dati personali, con lo scopo di fornire una chiara indicazione delle misure che i social network possono attuare per garantire la conformità delle loro piattaforme alle norme europee a tutela della privacy.

Vediamo alcuni punti salienti di questo intervento che prende in considerazione molti aspetti di un fenomeno ormai consolidato.

Applicabilità delle direttive europee

Partendo dall'art. 4 della direttiva 95/46, di cui il gruppo ha fornito più volte una intepretazione, anche con riferimento ad una analoga questione, si ritiene che nella maggior parte dei casi le disposizioni trovino applicazione nei confronti dei social network, anche quando questi ultimi abbiano il loro quartier generale in un paese situato al di fuori dello spazio economico europeo.

Titolarità dei dati

Nessun dubbio esiste sulla qualifica dei fornitori di SN come titolari dei dati (data controller) e destinatari dei conseguenti oneri, dal momento che essi possono determinare autonomamente gli strumenti, le modalità e le finalità dei trattamenti.

Ovviamente questa titolarità può essere assunta anche dai fornitori di applicazioni esterne, quando queste ultime siano incorporate ed utilizzate all'interno delle reti sociali.

Per gli utenti finali, invece, l'applicazione della normativa è, di regola, esclusa dal fatto che il trattamento dei dati avviene nell'ambito di attività di carattere prevalentemente personale o domestico.

Tuttavia questa eccezione non opera quando gli utenti agiscono per conto di associazioni od organizzazioni di qualsiasi tipo o quando l'utilizzo della piattaforma è finalizzato a soddisfare obiettivi di carattere commerciale, politico od anche caritatevole, con la conseguente assunzione delle responsabilità tipiche dei titolari di dati ai quali, dunque, gli utenti stessi vanno equiparati.

Curiosamente nel documento si ritiene plausibile che un elevato numero di contatti possa essere indizio del fatto che un utente non stia trattando dati nell'ambito di attività personali e sia, quindi, da considerare come titolare.

Misure di sicurezza

In questo ambito è importante il richiamo che il gruppo di lavoro fa sulla necessità di adottare, sia in fase di progettazione che di funzionamento del sistema o dei sistemi di trattamento, le misure di sicurezza, tecniche ed organizzative, effettivamente richieste sulla base dell'analisi dei rischi e della natura dei dati trattati.

Quindi non il solito riferimento alle misure minime che, spesso, lasciano il tempo che trovano, ma a misure realmente proporzionate all'entità misurata del rischio, in relazione al quale non va dimenticato il contesto generale in cui gli SN operano, cioè Internet.

Informazioni e dati sensibili degli utenti

Oltre a ricevere l'informativa prevista dall'art. 10 della direttiva, gli utenti andrebbero avvertiti dei rischi che corrono rendendo noti dati ed informazioni di natura personale, così come del fatto che il caricamento di immagini relative ad altri individui non può avvenire senza il consenso di questi ultimi.

Maggior rigore va invece dimostrato nel trattamento di dati sensibili, possibile soltanto con il consenso esplicito degli interessati.

A questo proposito si reputa opportuno che, nel caso in cui la form del profilo contenga campi relativi ad informazioni sensibili (razza, religione, orientamento politico, ecc...), il fornitore chiarisca esplicitamente che il riempimento di questi campi non è in alcun modo sollecitato ma completamente facoltativo.

Trattamento dei dati di terzi

Molte piattaforme consentono di inserire in vario modo dati relativi ad altre persone, non iscritte al network, in contrasto con la norma generale secondo cui il trattamento può avvenire soltanto in presenza di uno dei requisiti di cui all'art. 7 della direttiva 95/46 (consenso, esecuzione di un contratto o di un obbligo di legge, ecc...).

Ancora peggio appare la creazione automatizzata di profili sulla base della aggregazione dei dati, conferiti indipendentemente da altri utenti, inclusi quelli concernenti le relazioni sociali dedotti, tramite inferenza, da rubriche personali.

Marketing

Il marketing diretto è una delle principali attività sulle quali si basa attualmente il modello di business delle reti sociali.

Se per tali attività si utilizzano dati personali degli utenti e servizi che rientrano nell'ambito del concetto delle comunicazioni elettroniche (es. email), andranno conseguentemente applicate le prescrizioni delle direttive 95/46 e 2002/58 (e-privacy).

Conservazione dei dati

In generale nessuna politica di conservazione può essere applicata nel caso in cui sia richiesta la cancellazione di un account.

I dati relativi agli utenti bannati, ma solo quelli identificativi, possono essere conservati, previa informativa, per un periodo massimo di 1 anno.

L'inutilizzo del servizio per un determinato periodo di tempo deve comportare la disattivazione dell'account ed, eventualmente, la sua successiva cancellazione.

Diritti degli interessati e tutela dei minori

Vanno riconosciuti a tutti coloro i cui dati vengono trattati, a prescidere dal fatto che si tratti di utenti o meno della piattaforma.

Gli interessati dovrebbero essere messi in condizione di esercitare il diritto di accesso, rettifica e cancellazione attraverso l'adozione di misure efficaci come, ad esempio, l'indicazione in home page dell'ufficio al quale sottoporre tutte le richieste e le questioni concernenti la privacy.

Ulteriori misure vanno inquadrate nell'ambito di una strategia di protezione dei dati dei minori: si parla a tale proposito di iniziative di accrescimento della consapevolezza, del divieto di raccogliere dati sensibili e di svolgere attività di marketing diretto, della separazione logica tra le comunità di adulti e minori e dell'adozione di tecnologie che migliorano la privacy (impostazioni amichevoli, popup di avvertimento, software di verifica dell'età).

Sarà ora interessante vedere quale atteggiamento vorranno assumere i fornitori di SN di fronte a questo parere che, pur non avendo forza di legge, rappresenta pur sempre un opinione autorevole e testimonia la posizione che l'Europa intende assumere nella protezione dei diritti fondamentali dell'individuo, come quello alla privacy ed alla protezione dei suoi dati.

Personalmente ritengo che la futura leadership si giocherà anche sul terreno della credibilità e dell'immagine alle quali contribuiranno, in maniera significativa, l'atteggiamento di apertura verso le problematiche citate e gli sforzi da compiere in direzione della compliance.

Photo courtesy: spekulator

Link ad approfondimenti

Amministratori di sistema: proroga dei termini per l'adozione delle misure

2009-06-29T11:51:00.001+02:00

A seguito delle indicazioni formulate nel corso di una consultazione pubblica, il garante della privacy ha emanato nuove disposizioni per modificare il precedente provvedimento concernente le misure di sicurezza applicabili agli amministratori di sistema.

Le modifiche si giustificano con l'intento di facilitare l'adozione delle misure, anche per quelle realtà aziendali nelle quali determinati servizi informatici sono forniti da società esterne.

In tal senso l'autorità ha consentito che gli adempimenti connessi all'individuazione degli amministratori di sistema ed alla tenuta dei relativi elenchi possano essere soddisfatti, oltre che dal titolare, anche dai responsabili del trattamento.

Inoltre i termini per l'adozione delle misure tecniche ed organizzative sono stati prorogati al 15 dicembre 2009.

Di seguito riepilogo, per comodità, le porzioni del provvedimento originario oggetto delle modifiche (le aggiunte sono in grassetto):

4.3 Elenco degli amministratori di sistema:

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati ~~nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque~~ in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

Al terzo capoverso del punto 4.3:

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare ~~deve~~ o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

4.4 Verifica delle attività:

L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

Punto 2 lett. c):

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati ~~nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque~~ in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini o tramite procedure formalizzate a istanza del lavoratore). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore.

Punto 2 lett. d:)

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare ~~deve~~ o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

Punto 2 lett. e):

L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Aggiunta del punto 3-bis:

dispone che l'eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell'ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell'art. 29 del Codice, o anche tramite opportune clausole contrattuali".

Il trattamento dei dati personali nelle controversie transfrontaliere

2009-06-08T12:38:00.001+02:00

Le informazioni hanno assunto, da tempo, il ruolo di supporto decisionale fondamentale non soltanto nel business, ma anche nella risoluzione delle controversie che rappresentano ormai un evento, tutt'altro che remoto, nel contesto di rapporti negoziali e commerciali sempre più complessi, articolati e, spesso, estesi al di là dei tradizionali confini geografici.

Grazie all'utilizzo diffuso delle nuove tecnologie, le informazioni sono oggi generate, per la quasi totalità, in forma digitale e una parte consistente di esse non è neppure riprodotta su supporti fisici.

Inoltre, una quota, più o meno consistente, di questo immenso flusso informativo elettronico è probabilmente rappresentata dai dati personali oggetto, come è noto, delle particolari tutele previste dalla direttiva 95/46/CE.

Allo stato attuale permane una situazione di conflitto, abbastanza reale, tra l'ambito geografico di applicazione delle leggi europee sulla protezione dei dati personali e la natura multinazionale delle numerose società che, pur avendo sede in uno degli stati membri UE, fanno, in realtà, parte di gruppi societari esteri.

Esiste, infatti, la possibilità che la risoluzione delle controversie, nelle quali queste entità siano eventualmente coinvolte, sia devoluta a giurisdizioni diverse da quelle dei paesi membri UE, il che pone, in relazione alla normativa europea, alcune questioni, di non facile soluzione, concernenti la conservazione preventiva dei documenti - cosiddetto freezing - e la discovery, cioè il processo volto a garantire che tutte le parti possano utilizzare le informazioni rilevanti ai fini della controversia incluse, ovviamente, quelle memorizzate in forma elettronica.

A complicare ulteriormente il quadro, il fatto che lo scopo, le norme e le procedure che regolamentano la discovery differiscono, anche sensibilmente, tra gli ordinamenti di common law (U.S, UK) e quelli di civil law (paesi UE): ad esempio, negli Stati Uniti le parti devono rispettare gli obblighi imposti dalle procedure e sono indotte a scambiarsi, prima della prova, non solo le informazioni pertinenti, ma anche quelle che potrebbero portare alla divulgazione di altri aspetti rilevanti ai fini della risoluzione della controversia.

Peraltro, queste informazioni non sono affatto circoscritte ai soli dati personali, ma possono comprendere anche dati sensibili, come quelli sanitari, le e-mail ed i dati di terze parti (dipendenti o clienti), generando preoccupazioni per il rispetto della segretezza delle comunicazioni e il trattamento dei dati personali secondo le normative europee.

Nella maggior parte degli ordinamenti di civil law, invece, l'approccio è più restrittivo, limitando la divulgazione a ciò che è strettamente necessario ai fini della prova e lasciando alle singole parti l'onere, ma non l'obbligo, di offrire elementi a sostegno della loro causa. In alcuni ordinamenti, addirittura, sono state introdotte leggi che impediscono la divulgazione di informazioni a giurisdizioni straniere.

Proprio per garantire un corretto bilanciamento tra gli obblighi di protezione di matrice europea e le esigenze delle giurisdizioni straniere, il Gruppo di lavoro dell'art. 29 della direttiva 95/46/CE ha rilasciato un documento nel quale chiarisce quali siano i presupposti e le condizioni da rispettare per poter ritenere legittimo il trattamento dei dati personali nell'ambito delle controversie di natura transfrontaliera ed in considerazione delle varie fasi del contenzioso, compresi il mantenimento, la divulgazione, il trasferimento e l'utilizzo per finalità secondarie.

Photo credit: ilco

Marketing telefonico e privacy: verso un sistema di opt-out ?

2009-06-03T17:36:00.001+02:00

L'istituto italiano privacy ha recentemente presentato un disegno di legge sul marketing telefonico con il quale si propone di abbandonare il sistema vigente, basato sul consenso preventivo dell'utente (opt-in), in favore del più flessibile sistema di opt-out, già in uso in altri paesi.

Semplificando, la principale differenza è che gli utenti che vorranno opporsi al trattamento dei propri dati per finalità di marketing attraverso il mezzo telefonico, dovranno iscriversi in un apposito registro tenuto dal garante.

L'iniziativa trae origine dall'esigenza, comunemente avvertita, di rendere meno rigida la normativa del settore, facilitando le attività di business, ma senza privare i cittadini degli strumenti fondamentali per l'esercizio dei loro diritti, tra cui quello di controllare la diffusione ed il trattamento dei propri dati personali.

Sebbene sia convinto anche io dell'opportunità di modificare le norme vigenti e condivida le finalità di un equo bilanciamento dei contrapposti interessi, cui la relazione introduttiva del disegno di legge fa riferimento, vorrei fare alcune precisazioni su alcuni passaggi del ddl che hanno attratto la mia attenzione.

Iscrizione nel registro

L'articolo 1, comma 4, così dispone:

L’iscrizione al registro non preclude i trattamenti dei dati altrimenti acquisiti e trattati nel rispetto degli articoli 23 e 24. L’iscrizione al registro ha effetto entro 30 giorni dal giorno successivo a quello della richiesta. Tale iscrizione è sempre revocabile dall’interessato, ha una durata di ventiquattro mesi e può essere rinnovata in qualunque momento. L’iscrizione cessa automaticamente quando cambi, per qualsivoglia motivo, l’intestatario della numerazione.

Il meccanismo delineato in questo comma mi sembra poco bilanciato, a discapito degli utenti, poichè pone, a loro carico, l'onere di rinnovare esplicitamente l'iscrizione nel registro delle opposizioni, una volta che siano passati 24 mesi dalla prima richiesta.

Credo sarebbe più equo prevedere, dopo la prima richiesta, un rinnovo tacito della iscrizione per un eguale durata, salvo contraria ed esplicita indicazione da parte degli interessati.

Questi ultimi risulterebbero meglio tutelati in questo modo, non essendo costretti a ricordare, ogni due anni, di esercitare nuovamente il loro diritto.

Al contrario, invece, l'onere di attivarsi per impedire un rinnovo tacito dell'iscrizione non risulterebbe altrettanto gravoso per quei soggetti che dovessero maturare nel frattempo un ripensamento.

Organizzazione e gestione del registro

Secondo l'articolo 1 , comma 5:

Il Garante può suddividere il registro in più sezioni separate per diversi settori di attività, individuate e aggiornate tenendo conto della classificazione delle attività economiche definita dall’ISTAT, con la conseguente facoltà degli interessati di chiedere l’iscrizione in una o in più sezioni.

In questo caso vedrei come opportuna la specifica che l'iscrizione nel registro, effettuata senza indicare la sezione di appartenenza, si intende riferita implicitamente a tutte le attività economiche.

Illeciti

L'articolo 3, comma 1, prevede:

All’articolo 162 del decreto legislativo 30 giugno 2003, n. 196 è aggiunto il seguente comma:

“3. La violazione del diritto di opposizione come risultante dal registro di cui all’articolo 129, comma 2 o delle disposizioni contenute nel comma 8 dell’art. 129, è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.”

La previsione di nuove fattispecie di illecito amministrativo si inquadra, giustamente, nell'esigenza di sanzionare in modo rigoroso i comportamenti scorretti degli operatori.

In tale prospettiva si potrebbe, inoltre, valutare l'opportunità di sanzionare, eventualmente come circostanza aggravante del trattamento illecito dei dati (art. 167), l'aver commesso il fatto in violazione delle disposizioni di cui all'art. 129.

Ovviamente, trattandosi di un progetto di legge, bisognerà attendere ancora a lungo prima che esso si trasformi, se mai, in norme vincolanti.

Senza dubbio, però, un passo importante è stato intrapreso nella direzione di un cambiamento che, da tempo, sembra essere invocato da più parti.

Corso online (gratuito) su direct marketing e privacy

Photo credit: hbrinkman

Outsourcing, rischi e compliance: come farli convivere ?

2009-05-25T08:58:00.000+02:00

Le imprese di oggi si trovano spesso a dover operare in un mercato che, per effetto della spinta alla globalizzazione ed all'uso delle nuove tecnologie, travalica i confini geografici.

In questo contesto "allargato" il mantenimento di elevati livelli di competitività costituisce un presupposto fondamentale per la sopravvivenza della stessa impresa.

Nell'ambito delle strategie per garantire il sostegno della competitività aziendale si colloca l'outsourcing, termine con il quale si intende tradizionalmente la pratica di trasferire a soggetti esterni lo svolgimento di una o più funzioni aziendali.

Vantaggi

La tendenza diffusa all'outsourcing continua ad essere sostenuta dalla possibilità di realizzare, attraverso di essa, alcuni vantaggi:

l'impresa può focalizzare l'attenzione sulle sole attività inerenti il core business, evitando quel dispendio di risorse, non solo economiche, che sarebbe necessario per supportare attività non direttamente riconducibili, pur se complementari, al suo interesse primario;
l'impresa può sfruttare le capacità innovative, tecnologiche e specialistiche che i vari fornitori rendono disponibili sul mercato;
l'impresa può ottimizzare i propri risultati economici quando il ricorso all'outsourcing si accompagna ad un efficace strategia per il controllo di gestione e la riduzione dei rischi;

In particolare, le funzioni ed i servizi connessi all'utilizzo ed alla gestione delle infrastrutture di tipo informativo (hardware, software, connettività, sicurezza informatica, consulenza, ecc...) sono quelli che maggiormente si prestano ad una esternalizzazione per una serie di motivi :

elevato grado di idoneità a supportare le realizzazione di obiettivi di business (è impensabile oggi raggiungere livelli di eccellenza e competitività adeguati senza il ricorso alle tecnologie ICT);
onerosità, specie per le realtà di piccole e medie dimensioni, sotto il profilo della formazione e del mantenimento, all'interno della organizzazione, di risorse in possesso di competenze e professionalità adeguate;
vantaggi, diretti ed indiretti, riconducibili alla protezione del proprio patrimonio informativo ed al rispetto delle norme vigenti, degli standard di settore e degli impegni contrattuali;

Problematiche

L'outsourcing non è però privo di problematiche, a volte di una certa complessità, che non vanno sottovalutate. Vediamo quali sono.

Il coinvolgimento di soggetti esterni (fornitori, consulenti, ecc...) aumenta, in modo considerevole, la possibilità che questi ultimi vengano in contatto ed interagiscano con gli asset aziendali.

Questo si traduce in una condizione di vulnerabilità che interessa anche le organizzazioni che adottano livelli di controllo e di gestione piuttosto stringenti e finisce per incidere, anche solo potenzialmente, sugli sforzi necessari per garantire la sicurezza e la protezione degli asset.

Si può dunque dire che, ogni volta che una azienda esternalizza una parte, più o meno consistente, delle proprie funzioni, essa finisce per esternalizzare anche una parte dei rischi e delle relative responsabilità.

Strategie

Diventa allora imperativo compiere preventivamente alcune attività riguardanti:

l'adozione di opportune metodologie di analisi e gestione dei rischi;
la definizione dei criteri per la scelta del fornitore;
l'individuazione degli strumenti e dei meccanismi più idonei per l'attribuzione di responsabilità ai soggetti terzi che vengono coinvolti nei processi aziendali;

Il richiamo alle metodologie di gestione del rischio vale a sottolineare il fatto che l'outsourcing costituisce una fattispecie caratterizzata da livelli di rischio, anche elevati, connessi con:

la creazione di un rapporto di dipendenza da uno o più soggetti esterni per l'erogazione di servizi che, comunque, sono essenziali nel contesto di una determinata gestione aziendale;
la protezione delle informazioni e degli altri asset;
la responsabilità nel garantire i livelli di conformità richiesti da leggi, regolamenti, standard ed accordi di natura contrattuale;

Fortunatamente la maggior parte dei rischi si può bilanciare o trasferire attraverso una gestione contrattuale dei rapporti, pur senza dimenticare, però, l'importanza che riveste a tal fine la negoziazione di alcuni aspetti critici (durata, revisioni, risoluzione, misurazione delle performance e livelli di servizio, clausole penali, ecc...).

Photo credit: lusi

Marketing: il consenso all'uso dei dati personali deve essere libero

2009-05-20T18:00:00.001+02:00

Ancora una pronuncia del garante della privacy sulle caratteristiche del consenso all'utilizzo dei dati personali per finalità promozionali o di marketing e sulle modalità con le quali dovrebbero essere realizzate le maschere di registrazione dei dati (cd. form) su web per consentire una corretta manifestazione di volontà da parte degli interessati.

Nel caso specifico, che ha riguardato una società specializzata nella vendita online di biglietti per eventi di vario genere, l'autorità ha ribadito che:

gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso per ciascuna distinta finalità perseguita dal titolare; tale capacità di autodeterminazione non è assicurata quando si assoggetta la fruizione di beni e servizi alla preventiva autorizzazione a trattare i dati conferiti anche per finalità diverse, quali sono quelle di profilazione e promozionale;

Quindi, in poche parole, non si può negare un servizio a chi non vuole fornire i propri dati personali per scopi diversi da quelli strettamente inerenti la prestazione del servizio stesso. Ogni altro trattamento per differenti finalità deve essere, invece, preceduto da un consenso libero e specifico (cioè riferito alla singola finalità).

Nel caso in cui il consenso venga acquisito attraverso Internet, occorre anche che le relative pagine web facciano uso di elementi in grado di consentire agli interessati la libera manifestazione, positiva o negativa, della propria volontà (es. mediante caselle di spunta differenti per ogni finalità, non preselezionate).

Data retention: ulteriore proroga per l'applicazione delle misure di sicurezza

2009-05-12T11:30:00.000+02:00

Il garante della privacy ha accordato un parziale slittamento dei termini per l'adozione degli accorgimenti e delle misure di sicurezza a garanzia dei dati del traffico telefonico e telematico, conservati sia per finalità di accertamento e repressione di reati, sia per finalità ordinarie.

La scadenza, già prorogata una volta rispetto a quella inizialmente prevista, era stata fissata al 30 aprile 2009 (30 giugno per le sole misure concernenti la strong authentication).

La proroga è stata concessa, su richiesta delle associazioni di categoria, tenuto conto della situazione di sostanziale, ma non ancora integrale, adempimento, delle maggiori difficoltà tecniche nell'adozione di alcune misure e della quantità degli interventi strutturali ed economici complessivamente richiesti per garantire una completa conformità alle prescrizioni.

Dunque, per effetto di questo intervento, è stato prorogato al 15 dicembre 2009 il termine per l'adeguamento alle misure del provvedimento del 24 luglio 2008, di cui alla:

lettera a):

n. 3: adottare, per la conservazione dei dati di traffico per esclusive finalità di accertamento e repressione di reati, sistemi informatici distinti fisicamente da quelli utilizzati per gestire dati di traffico anche per altre finalità, sia nelle componenti di elaborazione, sia di immagazzinamento dei dati (storage). I dati di traffico conservati per un periodo non superiore ai sei mesi dalla loro generazione possono, invece, essere trattati per le finalità di giustizia sia prevedendone il trattamento con i medesimi sistemi di elaborazione e di immagazzinamento utilizzati per la generalità dei trattamenti, sia provvedendo alla loro duplicazione, con conservazione separata rispetto ai dati di traffico trattati per le ordinarie finalità. Le attrezzature informatiche utilizzate per i trattamenti di dati di traffico per le esclusive finalità di giustizia di cui sopra devono essere collocate all'interno di aree ad accesso selezionato (ovvero riservato ai soli soggetti legittimati ad accedervi per l'espletamento di specifiche mansioni) e munite di dispositivi elettronici di controllo o di procedure di vigilanza che comportino la registrazione dei dati identificativi delle persone ammesse, con indicazione dei relativi riferimenti temporali. Nel caso di trattamenti di dati di traffico telefonico per esclusive finalità di giustizia, il controllo degli accessi deve comprendere una procedura di riconoscimento biometrico. Infine, il fornitore deve adottare misure idonee a garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici in tempi compatibili con i diritti degli interessati e comunque non superiori a sette giorni;

n. 6: adottare soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento. Il controllo deve essere efficace e dettagliato anche per i trattamenti condotti sui singoli elementi di informazione presenti sui diversi database utilizzati. Tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall'uso interattivo dei sistemi, sia quando sono svolte tramite l'azione automatica di programmi informatici. I sistemi di audit log devono garantire la completezza, l'immodificabilità, l'autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing. A tali scopi il fornitore deve adottare, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure informatiche per attestare la loro integrità, basate sull'utilizzo di tecnologie crittografiche;

n. 9: proteggere i dati di traffico trattati per esclusive finalità di giustizia con tecniche crittografiche, in particolare contro rischi di acquisizione fortuita o di alterazione accidentale derivanti da operazioni di manutenzione sugli apparati informatici o da ordinarie operazioni di amministrazione di sistema. Il fornitore deve adottare soluzioni che rendano le informazioni residenti nelle basi di dati a servizio delle applicazioni informatiche utilizzate per i trattamenti, non intelligibili a chi non disponga di diritti di accesso e profili di autorizzazione idonei, ricorrendo a forme di cifratura od offuscamento di porzioni dei data base o degli indici o ad altri accorgimenti tecnici basati su tecnologie crittografiche. Tale misura deve essere efficace per ridurre al minimo il rischio che incaricati di mansioni tecniche accessorie ai trattamenti (amministratori di sistema, database administrator e manutentori hardware e software) possano accedere indebitamente alle informazioni registrate, anche fortuitamente, acquisendone conoscenza nel corso di operazioni di accesso ai sistemi o di manutenzione di altro genere, oppure che possano intenzionalmente o fortuitamente alterare le informazioni registrate. Eventuali flussi di trasmissione dei dati di traffico tra sistemi informatici del fornitore devono aver luogo tramite protocolli di comunicazione sicuri, basati su tecniche crittografiche, o comunque evitando il ricorso alla trasmissione in chiaro dei dati. Protocolli di comunicazione sicuri devono essere adottati anche per garantire più in generale la sicurezza dei sistemi evitando di esporli a vulnerabilità e a rischio di intrusione;

lettera c):

n. 1: adottare specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell'uso contestuale di almeno due differenti tecnologie di autenticazione, che si applichino agli accessi ai sistemi di elaborazione da parte di tutti gli incaricati di trattamento nonché di tutti gli addetti tecnici (amministratori di sistema, di rete, di data base) che abbiano la possibilità concreta di accedere ai dati di traffico custoditi nelle banche dati del fornitore, qualunque sia la modalità, locale o remota, con cui si realizzi l'accesso al sistema di elaborazione utilizzato per il trattamento, evitando che questo possa aver luogo senza che l'incaricato abbia comunque superato una fase di autenticazione informatica nei termini anzidetti. Qualora circostanze eccezionali, legate a indifferibili interventi per malfunzionamenti, guasti, installazione hardware e software, aggiornamento e riconfigurazione dei sistemi, determinino la necessità di accesso a sistemi di elaborazione che trattano dati di traffico da parte di addetti tecnici in assenza di strong authentication, fermo restando l'obbligo di assicurare le misure minime in tema di credenziali di autenticazione previste dall'Allegato B) al Codice in materia di protezione dei dati personali, deve essere tenuta traccia in un apposito "registro degli accessi" dell'eventuale accesso fisico ai locali in cui sono installati i sistemi di elaborazione oggetto di intervento e dell'accesso logico ai sistemi, nonché delle motivazioni che li hanno determinati, con una descrizione sintetica delle operazioni svolte, anche mediante l'utilizzo di sistemi elettronici. Tale registro deve essere custodito dal fornitore presso le sedi di elaborazione e messo a disposizione del Garante nel caso di ispezioni o controlli, unitamente a un elenco nominativo dei soggetti abilitati all'accesso ai diversi sistemi di elaborazione con funzioni di amministratore di sistema, che deve essere formato e aggiornato costantemente dal fornitore;

n. 2: adottare procedure in grado di garantire la separazione rigida delle funzioni tecniche di assegnazione di credenziali di autenticazione e di individuazione dei profili di autorizzazione rispetto a quelle di gestione tecnica dei sistemi e delle basi di dati;

n. 3: rendere i dati di traffico immediatamente non disponibili per le elaborazioni dei sistemi informativi allo scadere dei termini previsti dalle disposizioni vigenti, provvedendo alla loro cancellazione o trasformazione in forma anonima, in tempi tecnicamente compatibili con l'esercizio delle relative procedure informatiche, nei data base e nei sistemi di elaborazione utilizzati per i trattamenti nonché nei sistemi e nei supporti per la realizzazione di copie di sicurezza (backup e disaster recovery) effettuate dal titolare anche in applicazione di misure previste dalla normativa vigente e, al più tardi, documentando tale operazione entro i trenta giorni successivi alla scadenza dei termini di conservazione (art. 123 del Codice);

n. 4: adottare soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento. Il controllo deve essere efficace e dettagliato anche per i trattamenti condotti sui singoli elementi di informazione presenti sui diversi database utilizzati. Tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall'uso interattivo dei sistemi, sia quando sono svolte tramite l'azione automatica di programmi informatici. I sistemi di audit log devono garantire la completezza, l'immodificabilità, l'autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing. A tali scopi il fornitore deve adottare, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure informatiche per attestare la loro integrità, basate sull'utilizzo di tecnologie crittografiche;

n. 5: documentare i sistemi informativi utilizzati per il trattamento dei dati di traffico in modo idoneo secondo i princìpi dell'ingegneria del software, evitando soluzioni documentali non corrispondenti a metodi descrittivi standard o di ampia accettazione. La descrizione deve comprendere, per ciascun sistema applicativo, l'architettura logico-funzionale, l'architettura complessiva e la struttura dei sistemi utilizzati per il trattamento, i flussi di input/output dei dati di traffico da e verso altri sistemi, l'architettura della rete di comunicazione, l'indicazione dei soggetti o classi di soggetti aventi legittimo accesso al sistema. La documentazione va corredata con diagrammi di dislocazione delle applicazioni e dei sistemi, da cui deve risultare anche l'esatta ubicazione dei sistemi nei quali vengono trattati i dati per le finalità di accertamento e repressione di reati. La documentazione tecnica deve essere aggiornata e messa a disposizione dell'Autorità su sua eventuale richiesta, unitamente a informazioni di dettaglio sui soggetti aventi legittimo accesso ai sistemi per il trattamento dei dati di traffico;