Abbiamo selezionato per voi le ultime flash news legate alla normativa privacy e al tema della sicurezza dei dati.

  • Cassazione: il Garante può ordinare a Google la deindicizzazione globale
    Con la sentenza del 24 novembre u.s., la Prima sezione civile della Cassazione compie un passaggio innovativo per l’esercizio del diritto all’oblio, sancito dall’art. 17 del GDPR: si può chiedere ed ottenere la deindicizzazione globale, “cancellando” anche notizie pubblicate da motori di ricerca stabiliti al di fuori dell’Unione Europea. L’interessato potrà essere “dimenticato” non solo nei Paesi UE ma anche al di fuori. Ovviamente, non è così facile come sembra! Alla base di questa decisione di deindicizzazione, dovrà essere attuato un adeguato bilanciamento dei diversi interessi “in gioco”: diritto della persona alla tutela della sua vita privata, protezione dei dati personali e il diritto alla libertà d’informazione. Altro passaggio decisivo inerisce la normativa da rispettare: pur avendo la deindicizzazione efficacia globale, l’Autorità italiana potrà assumere la decisione tenendo conto solamente della normativa applicata nell’ordinamento italiano, senza premurarsi di verificare la normativa dello Stato extra UE. Quest’ultimo, al massimo, potrà “arbitrariamente” decidere di non dare esecuzione al provvedimento adottato da un’Autorità italiana. La sentenza
  • Sito web in HTTPS: nel 2022 non può più essere un optional
    Come è possibile che nel 2022, ancora molti Titolari del trattamento non comprendano la necessità di adeguare il sito web al protocollo https e rendere più sicura la navigazione, rispondendo adeguatamente al principio di accountability? Nel caso in esame, un utente del Servizio Idrico Integrato S.c.p.a. crea un profilo all’interno dell’area personale, per poter beneficiare di alcune funzionalità aggiuntive. In tal modo, avrebbe potuto verificare e monitorare informazioni relative alla fornitura; visualizzare e stampare le bollette emesse; accedere alle informazioni relative al servizio prestato, alle tariffe applicate, alla tipologia d’utenza assegnata nonché procedere ad autolettura. L’utente constatava, tuttavia, l’utilizzo di un profilo di sicurezza del sito web “non sicuro”. In sua difesa, la società ha addotto che il passaggio al protocollo https sarebbe avvenuto in tempi brevi,  specificando, inoltre, che i dati personali contenuti nell’area riservata non sono mai stati oggetto di data breach. Il Garante Privacy ha comminato una sanzione amministrativa di 15.000 €, per l’utilizzo del protocollo http, considerato non sicuro, ritenendo violati i principi di integrità e riservatezza dei dati trattati; di protezione dei dati fin dalla progettazione ex art.25 GDPR nonché per l’assenza delle misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio ex art.32 GDPR. Si rammenta che il protocollo http permette la trasmissione in chiaro (senza crittografia) di tutta la comunicazione. Oggi è semplice ottenere tale livello di sicurezza in quanto la maggior parte dei service provider consentono di attivare certificati SSL in maniera gratuita, al momento della registrazione del dominio con hosting.
  • Pagamenti sempre più digitali: carta di credito biometrica
    Un progetto pilota all’avanguardia,  avanzato da Sella Personal Credit e sviluppato in collaborazione con IDEMIA, permetterà di autorizzare tutte le transazioni con la sola impronta digitale, quindi, utilizzando un dato biometrico. La sperimentazione, appena avviata, ha coinvolto un target selezionato di clienti in Italia, al quale è stato messo a disposizione un kit contenente il cosiddetto “sleeve” che permette la registrazione della propria impronta sulla carta senza recarsi in filiale. Una volta acquisita l’impronta digitale, la carta è pronta per essere utilizzata, sia per i pagamenti diretti e sia in modalità contactless. L’obiettivo del CEO di Sella Personal Credit consiste nell’offerta di soluzione semplici e sicure per i propri clienti, derivanti dall’implementazione di modalità di riconoscimento per mezzo di dati biometrici. Ma, se da un lato ci proiettiamo in un  futuro più prossimo sempre più digitalizzato, dall’altro bisogna sempre preservare la nostra identità personale e digitale, non dimenticandoci che i nostri dati personali ed, in particolar modo, particolari, non sono la giusta merce di scambio per un servizio, soprattutto, se gratuito. Dovremo, quindi, accertarci delle misure di sicurezza tecniche ed organizzative implementate affinché la nostra identità digitale non possa finire nelle mani sbagliate degli hacker.
  • NIS2: in arrivo nuovi adempimenti per le imprese.
    L’eccessiva genericità degli obblighi sanciti dalla Direttiva NIS1, recepita dal nostro ordinamento attraverso il D.lgs. 18 maggio 2018, n.65, ha comportato la necessità di un nuovo intervento che rendesse maggiormente omogeneo ed uniforme il quadro normativo europeo. La Direttiva NIS2, quindi, stabilisce misure più stringenti per la gestione del rischio di sicurezza informatica ed ha il chiaro obiettivo di rafforzare e implementare la capacità delle società di rispondere agli attacchi informatici, aumentando i loro sistemi di sicurezza. La nuova normativa impone alle imprese un approccio del rischio in materia di sicurezza delle reti e dei sistemi informativi su un duplice fronte: limitativo e preventivo. Alle società, infatti, si chiede di limitare gli incidenti informatici e di rendere maggiormente rispondenti i propri sistemi a tali circostanze. Inoltre, dovranno impedire situazioni di pericolo, attraverso una serie di attività preventive che spaziano dalla vulnerability assesment, alla formazione dei dipendenti. Prima della pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, la Direttiva NIS2 dovrà essere approvata dal Consiglio e agli Stati Membri sarà garantito un termine di ventuno mesi per il recepimento a livello nazionale. Certamente la strada è ancora molto lunga, ma visti gli stringenti obblighi imposti, nonché le tempistiche necessarie per adottare presidi tecnico-organizzativi adeguati, le imprese dovranno, sin da subito, attivarsi per non farsi trovare impreparate.
  • Selezione del personale tramite intelligenza artificiale
    La trasformazione digitale delle imprese ha imposto riconsiderazioni strutturali che garantiscano spazio a nuove tecnologie produttive che migliorino le condizioni di lavoro, aumentino la produttività degli impianti e creino nuovi modelli di business. Proprio questo è l’obiettivo di tutte le aziende che hanno deciso di adottare software di intelligenza artificiale che, attraverso le webcam dei candidati, registrano vere e proprie interviste condotte, direttamente, dai programmi stessi. Attraverso l’analisi della mimica facciale, del tono della voce, del lessico, delle inflessioni utilizzate, gli algoritmi di machine learning (c.d. apprendimento automatico), automatizzano completamente il processo di selezione, valutando i candidati meritevoli di assunzione e quelli, invece, da scartare. Sono sempre di più le aziende che utilizzano questi software, con l’unico scopo di ridurre drasticamente costi e tempistiche di selezione del personale. Tutto questo, però, comporta gravi criticità in termini di legge privacy per i candidati che, non solo non vengono informati del fatto di essere analizzati attraverso un software del tutto automatizzato; ma non vengono neppure informati, compiutamente, del trattamento dei loro dati. A ciò si aggiunga che spesso, tali dati, vengono incrociati con big data che gli algoritmi di intelligenza artificiale sfruttano per tenere traccia dell’evoluzione professionale dei candidati. Il vuoto normativo in materia è evidente e la Commissione Europea, nel 2021, ha presentato al Parlamento Europeo una proposta di regolamentazione sull’Intelligenza Artificiale che è, quindi, in discussione. Tale argomento rientra tra quelli sottoposti al vaglio delle ispezioni da parte del Garante Privacy sia nel primo che nel secondo semestre del 2022. Non ci resta che attendere novità in merito.