A dimostrazione di questo, l’edizione 2022 della conferenza mondiale sui temi della privacy e la protezione dei dati vede come principali protagonisti sia le grandi multinazionali del web che i governi di tutto il mondo.

COVID e  protezione dei dati

La privacy e la protezione dei dati sono al centro delle attività europee ormai da molti anni, ma senza ombra di dubbio l’enorme mole di dati prodotta dalla gestione della pandemia COVID-19 hanno aumentato a dismisura i dibattiti sui dati delle persone.

Primo ma non unico l’introduzione del Green Pass, i dati sull’andamento della pandemia, tracciamento e controllo degli infetti e via dicendo, hanno messo a dura prova il sistema della privacy tanto da obbligare il Garante della Privacy a vigilare in modo più attento verso le normative della privacy e le necessità della gestione pandemica di Coronavirus.

Privacy vs protezione dati personali

Attenzione però: “Privacy” e “Protezione dei dati personali” sono due concetti diversi anche se questa differenza oggi si è affievolita e spesso le due tematiche si sovrappongo.

Sono sicuramente strettamente connessioni al punto che in alcuni casi possono essere usati come sinonimi, ma non sempre. Nel dubbio è sempre bene rivolgersi ad un esperto della materia.

Cos’è la Privacy?

La Privacy fa riferimento al diritto alla riservatezza delle informazioni personali e della propria vita privata, è un principio usato come strumento di tutela della sfera privata degli individui volto ad impedire che le informazioni siano divulgate senza una di specifica autorizzazione e impedire l’intromissione nella sfera privata da parte di terzi

Cos’è protezione dei dati?

Mentre, la Protezione dei Dati Personali fa riferimento a un sistema di trattamento dati che fanno riferimento in modo diretto o indiretto ad una persona. Questo concetto, secondo la concezione europea, è un sistema di norme volte a regolare il trattamento degli dei dati dei dati. Alla base della protezione dei dati troviamo i principi di riservatezza, disponibilità ed all’integrità dei dati personali.

La differenza tra protezione dati e privacy

Sono due concetti diversi, ma talvolta sovrapponibili. Anche se gli aspetti legali di privacy non rappresentano il mio lavoro, ne sono sicuramente una parte rilevante.

Con qualche ricerca online posso facilmente dire che si trattano di due concetti provenienti da culture diverse e da necessità storiche e tecnologiche.

• La privacy nasce quando non esisteva il digitale, ed è costituita come dispositivo di “esclusione” e strumento per allontanare lo sguardo indesiderato.
• La protezione dei dati, invece, mette al centro la persona ed i suoi dati perché questi costituiscono la sua identità, la sua importanza è cresciuta chiaramente con l’avvento del digitale e della grande quantità di dati prodotta e gestita.

Con il diffondersi delle tecnologie digitali è stato quindi necessario pensare alla sicurezza dei dati personali al fine di proteggere anche la privacy in quanto un loro errato trattamento può diventare un problema di privacy o limitazione delle libertà.

Principi base del trattamento dei dati

Secondo il Garante della Privacy il Regolamento generale sulla protezione dei dati (GDPR) delinea 6 principi di base per la protezione dei dati personali. Principi che le organizzazioni sono tenute a rispettare quando raccolgono, trattano e memorizzano i dati personali di persone residenti in Europa

Principi generali del trattamento di dati personali

Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che qui si ricordano brevemente:

• liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
• limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
• minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
• esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
• limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
• integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

Conclusioni

La privacy ed il trattamento dei dati personali sono argomenti troppo vasti e complessi per poter essere affrontati in un solo articolo di un blog senza il supporto di un professionista.

Nel mio lavoro di Consulenza su Servizi Digitali e Trasformazione Digitale incontro ogni giorno esigenze tecniche relative alla privacy e protezione dei dati, per questo anche se in modo “autodidatta” cerco sempre di rimanere informato quantomeno sulle buone prassi da seguire in materia di data protection.

Credo infatti che ogni professionista dell’ambito tecnologico e digitale debba conoscere quantomeno i principi di base del trattamento dei dati personali e di privacy, quale miglior occasione della 16a Giornata europea della protezione dei dati personali 28 gennaio 2022?

—

Testo parzialmente tratto da
https://www.agendadigitale.eu

L'articolo Qual è la differenza tra Privacy e Protezione dati? sembra essere il primo su Domenico Monaco.

Ora è caccia ai super hacker dei Green Pass!

La modella che cerca di comprare un Green Pass falso e l’hacker russo ed il “genio” di 17 anni. La Polizia Postale e la ricerca dei geni del Green Pass.

Fermi tutti: siamo professionisti delle Tecnologie dell’Informazione dunque analizziamo la questione più seriamente.

Cos’è il Green Pass? Il Green Pass è una certificazione digitale stampabile composta da un token ed un sigillo. Il token ed il sigillo sono distribuiti tramite un banale QR-Code generati da un sistema centralizzato e verificato da un altro sistema centralizzato per mezzo di API.

Cosa succede?

Dal momento in cui il Green Pass è diventato obbligatorio, sta accadendo che i QR-Code sono generati e salvati da centinaia di milioni di dispositivi in formato PDF da persone di tutte le età e di tutti livelli di alfabetizzazione.

Tutte queste operazioni sono verosimilmente effettuate ovunque: sia su reti sicure, sia su reti insicure. Sia su dispositivi sicuri che insicuri, sia su dispositivi propri sia su dispositivi di amici e parenti.

A loro volta, i vari certificati con i loro QR-Code sono inviati e scambiati attraverso i più disparati metodi di comunicazione (email, chat, bluetooth…) perché molte persone non disponendo di stampanti in casa sono costrette a chiederne la stampa ad amici e parenti.

Addirittura c’è chi online pubblicizza servizi ad-hoc per plastificare Green Pass, così che questi QR-Code sono inviati a centri stampa di tutta Italia.

Ci troviamo quindi con ulteriori migliaia di duplicati dei Green Pass salvati e dimenticati chissà dove e chissà quante persone ne hanno accesso.

E ancora, visto che il Green Passo è obbligatorio, tali i QR-Code vengono verificati da altre migliaia di persone con dispositivi ad uso privato potenzialmente insicuri ed infetti di qualsivoglia virus.

Le stesse persone obbligate a verificare i Green Pass lo fanno senza aver ricevuto la benché minima preparazione sul trattamento dei dati personali digitali e la messa in sicurezza dei dispositivi digitali. 

Senza contare i dispositivi rubati, dimenticati o semplicemente smarriti magari senza essere protetti da password o codici di accesso.

Ah sì gli Hacker. Si, quelli del Deep Web (Dark Web) magari russi provenienti dalla cultura Gopnik che sono grado di svuotarti il conto in banca mentre tracannano vodka.

Che poi, mi sono sempre chiesto perché si vestono così male se sanno rubare le password dei conti correnti. Bho, vai a capirli

Ora… Davvero qualcuno con almeno una Laurea in Informatica ha pensato che un tale sistema fosse sicuro e privo di falle?

Sia chiaro: io sono a favore dei vaccini, ma sinceramente penso che il sistema del Green Pass così com’é oggi sia una cagata, ingegneristicamente parlando.

Tecnicamente un mio documento privato e potenzialmente in grado di dare accesso alla mia utenza europea centralizzata potrebbe essere trafugato (sia in modo volontario che involontario) ogni volta che sono obbligato a esibirlo.

Gli Hacker del Green Pass siamo noi,
oppure semplicemente il processo di distribuzione fa schifo.

L'articolo Gli hacker del Green Pass siamo noi sembra essere il primo su Domenico Monaco.

Personalmente ho trovato molto interessante la conferenza che ha cercato (riuscendoci) di essere utile a alle diverse figure spesso con competenze lontane tra di loro.

Il GDPR obbliga esperti di tecnologia ed esperti in materia giuridica a collaborare attivamente, è questo il primo fatto che osservo. Oggi più che mai è necessario che più figure (giuristi, informatici, ricercatori e manager) collaborino attivamente alla creazione di un contesto tecnologico-giuridico al passo con i  tempi. Le necessità e le visioni delle parti interessate sono spesso in contrasto tra loro e questo emerge già dai primi interventi degli illustri presenti alla conferenza.

Pervasività delle tecnologie e paure

Uno dei primi aspetti affrontati alla conferenza è l’attuale pervasività della tecnologia che copre la quasi totalità degli aspetti quotidiani, dove talvolta nemmeno ci accorgiamo di usarla e di creare informazioni digitali.

Oltre ad essere pervasiva essa è essenziale allo svolgimento di molte delle azioni quotidiane, il solo black-out di Instagram per qualche ora potrebbe renderci isterici (Link). In oltre, siamo abituati ad un certo grado di qualità dei servizi digitali, ad esempi siamo infastiditi dal dover ricompilare e ricompilare moduli di registrazioni o inserire ripetutamente password e credenziali di accesso. Ma questo, fa notare uno dei presenti, avviene grazie ad informazioni. Ma di contro siamo diventati di colpo “gelosi” di quello che il mondo digitale conosce di noi.

Uno degli oratori dice:

“Si è passati dalla Primavera araba al caso Cambridge Analytica”, da una parte l’elogio dei Social Network e della diffusione delle informazioni, dall’altra i dubbi quasi paranoici sull’uso dei nostri dati. Questo ha prodotto una corsa alla “protezione dei dati” come dimostra l’introduzione del GDPR, il recente Decreto Privacy e altre soluzioni come California Consumer Privacy Act.

Questo ha prodotto non pochi problemi al mondo interconnesso in cui siamo abituati a vivere, ad esempio alcuni portali web statunitensi hanno chiuso gli accessi agli utenti europei perché non rispettavano le direttive del GDPR, oppure le proteste dei Big Tech Company contro la frammentazione delle regolamentazioni.

Si stanno però osservando alcuni primissimi effetti benefici, come il rafforzamento del diritto all’oblio, una maggiore chiarezza delle condizioni contrattuali in merito ai nostri dati ed un almeno “apparente” maggiore controllo degli stessi.

Uno degli oratori alla conferenza fa notare come il recente annuncio della chiusura di Google Plus e del mancato fix di un bug conosciuto da diversi anni non sia forse legato anche all’inasprimento della regolamentazione sulla privacy.

Ma è chiaro che siamo ben lontani dalla soluzione finale. É chiaro che oggi non si può essere ossessivamente impauriti dall’utilizzo dei dati, anche perché gran parte dell’economia odierna si basa su dati digitali, ma il GDPR ha suscitato inattese approvazione anche tra i Big Tech Company, proprio per la suo voler essere un modello mondiale per la protezione dei dati, fornendo linee guida e norme unificate in cui muoversi tutelando non solo gli utenti ma anche le compagnie del mercato globale.

I dati sono la nuova ricchezza commerciale

E’ interessante a mio parere come la privacy degli utenti sia diventato un problema soprattutto commerciale. Sino ad ora è stato descritto come uno strumento di tutela degli utenti, ed in parte è vero, infatti è sempre il “Garante della Privacy” a dire l’ultima su un eventuale illecito ed applicare l’eventuale sanzione, ma in Italia l’organo che si occupa di verificare praticamente l’applicazione il GDPR è il Nucleo Speciale Privacy della Guardia di Finanza. Questo mi ha sorpreso, mi sarei aspettato piuttosto la Polizia Postale, invece la Privacy è un problema economico.

In effetti oggi una delle ricchezze di maggiore valore sono proprio le informazioni e le tecnologie che ne derivano.

Il Comandante della Guardia Finanza presente alla conferenza fornisce una chiave di lettura ancora più tagliente commentando:

“Ogg i dati sono armi e quando ci sono le armi serve un sistema di protezione”, aggiungendo in oltre che “trattare adeguatamente i dati degli utenti è un costo per le organizzazioni”

Quindi non rispettare le normative del GDPR posiziona le organizzazioni in un contesto di “concorrenza sleale” rispetto alle altre compagnie, per questo motivo è stata scelta la Guardia di Finanza come organo di controllo per la Privacy.

Concorrenza sleale e contratti B2C

A questo punto la discussione introduce un interessante confronto tra le normative per la Protezione dei dati personali e le normative per la Protezione dei Consumatori, addirittura facendo emergere similarità in termini di tutele ed figure interessate. Il sistema normativo per la protezione dei consumatori ha già da tempo attuato una normalizzazione delle norme e della gestione dei diritti dei consumatori come sta accadendo con il GDPR, in oltre in entrambe le normative il tutelato è una persona fisica mentre il “controllato” è solitamente un organizzazione commerciale.

La discussione continua su come le condizioni contrattuali per il trattamento dei dati è di cruciale importanza facendo emergono numerose criticità come l’eventuale sbilanciamento del contratto tra l’organizzazione e l’utente che potrebbe trovarsi costretto ad accettare condizioni di utilizzo dei dati a fronte di un mancato accesso al servizio, oppure potrebbe trovarsi di fronte un contratto troppo difficile da comprendere o infine “abbindolato” all’accettazione a fronte di sconti o eliminazione di clausole. Tutto ciò convince, almeno il sottoscritto, di come la protezione dei dati sia diventato un problema anche commerciale.

Modalità e comprensione del consenso al trattamento dei dati personali

Infine la discussione si concentra sull’importanza delle modalità di fruizione dei contratti relativi all’utilizzo dei dati personali il quale fa emergere non poche criticità. Tra le maggiori criticità troviamo la comprensibilità del contratto e la necessità di consensi espliciti ed inequivocabili in base ai diversi utilizzi che ne verranno fatti dei dati raccolti.

Ad esempio se si utilizza un modulo online per acquisire il consenso sull’utilizzo dei dati personali degli utenti esso deve essere realizzato in modo tale che l’utente esprima il consenso con un azione esplicita, dunque se si propone all’utente un modulo precompilato si sta attuando un illecito. Dunque a mio parere è un aspetto interessante questo, ovvero mi spinge a chiedermi:

Quali sono quelle modalità di interazione che enfatizzano un consenso esplicito? Ovvero, è possibile per un utente accettare per errore attraverso una checkbox piuttosto che un radio button? Non sarebbe utile introdurre una doppia conferma? … e così via.

Personalmente trovo molto interessante la possibilità di studiare come le diverse modalità di interazione mediate dalla tecnologia siano o meno oltre che GDPR Compliance, ma anche realmente misurare il “consenso” dell’utente.

GDPR: Market-oriented o orientato alla protezione del singolo?

La conferenza si chiude con la necessità di collaborare tutti alla realizzazione di un ecosistema normativo adeguato per diverse figure senza dimenticare che i dati sono oggi essenziali sia per le compagnie che per gli utenti. Bisogna evitare che il GDPR diventi troppo market-oriented o troppo orientato alla protezione del singolo creando un evidente problema dei mercati globali.

Quest’ultimo aspetto è sottolineato dall’inaspettata apertura di Tim Cook e di altre compagnie non europee al GDPR EU e la paure probabilmente fondata ad un eccessiva chiusura delle normative al mercato globale impedendo alle compagnie tecnologiche continuare a realizzare i modelli di business basati sui dati.

Probabilmente ho omesso numerosi concetti discussi alla conferenza e molti altri espressi invece possono essere inesatti e superficiali, ma spero comunque di aver fatto emergere alcuni aspetti interessanti relativamente alla protezione dei dati personali nel contesto del GDPR e delle nuove tecnologie  sempre più persuasive.

Sitografia:

• [1] https://www.lastampa.it/2018/10/03/tecnologia/instagram-in-down-il-social-network-non-funziona-k4RwG8xwU19GTKQAwe16zO/pagina.html
• [2] https://privacylaw.proskauer.com/2018/07/articles/data-privacy-laws/the-california-consumer-privacy-act-of-2018/
• [3] https://www.agendadigitale.eu/sicurezza/gdpr-ecco-i-controlli-della-guardia-di-finanza-su-aziende-e-pa/
• [4] https://www.unimib.it/eventi/protezione-dei-dati-personali-gdpr-ue-e-nuovo-codice-privacy-primo-bilancio-applicativo
• [5] https://www.privacyitalia.eu
• [6] https://www.wired.it/internet/social-network/2018/10/09/google-plus-chiude-vulnerabilita/
• [7] http://www.gdf.gov.it/chi-siamo/organizzazione/compiti-istituzionali/privacy

Cosa ne pensi? Dimmelo su Twitter @_domenicomonaco oppure su Linkedin linkedin.com/in/domenicomonaco

L'articolo GDPR e Privacy, alcuni commenti personali sul primo bilancio applicativo sembra essere il primo su Domenico Monaco.