Leonardo's notes 😸

Privacy

6 min read

Il concetto di privacy nasce nel 1890 negli USA per garantire il diritto di essere lasciati soli.

Al giorno d’oggi la privacy è il diritto di un individuo di decidere quali informazioni personali condividere, con chi condividerle e come queste informazioni possono essere utilizzate.

I dati personali di altre persone vengono utilizzati con piĂš cura per evitare di infrangere le regole.

Sviluppo

La privacy si sviluppa negli anni Novanta a partire dalla direttiva europea 95/46, che in Italia viene applicata con la legge 675 del 31/12/1996; rappresenta il primo intervento legislativo in materia di privacy da parte dell’Italia ed è stata soggetta ad una costante evoluzione con successive integrazioni.

Direttiva europea 95/46

Questa direttiva introduce, oltre all’obbligo per gli stati membri di avere una legge sulla privacy, alcuni principi riguardanti la protezione dei dati personali:

  • I dati possono essere elaborati solo con il consenso esplicito dell’interessato;
  • Agli interessati è riconosciuto il diritto di essere informati sull’elaborazione dei dati che li riguardano;
  • Gli interessati hanno il diritto di accesso ai dati per controllarne l’accuratezza e il modo in cui vengono trattati;
  • Gli interessati hanno il diritto di richiedere la cancellazione dei propri dati personali o il rifiuto del trattamento dei dati;
  • Gli interessati hanno il diritto di ottenere un risarcimento dei danni subiti in caso di lesione dei propri diritti.

Questa direttiva è stata sostituita dal codice della privacy (legge 2006/193).

GDPR

Il GDPR è entrato in vigore a maggio 2018.

Privacy by design e by default

  • Privacy by design: la progettazione deve tenere conto della privacy;
  • Privacy by default: i prodotti devono rispettare il GDPR e non richiedere informazioni non strettamente necessarie.

Privacy su internet

Log

I log sono file in cui i server memorizzano automaticamente varie informazioni, tra cui:

  • La durata del collegamento;
  • Sistema operativo, browser, caratteristiche del dispositivo;
  • Indirizzo IP dell’utente;
  • Pagine visitate e tempo impiegato.

Un log dettagliato può essere utilizzato per profilare gli utenti.

I cookie sono file memorizzati nel client che si utilizzano per mantenere dati di vario tipo anche dopo l’uscita dalla pagina. I cookie tecnici contengono le credenziali utilizzate per accedere ai siti, ad es. username e password.

Gli utenti devono essere notificati del salvataggio dei cookie, in caso contrario si può incorrere in sanzioni.

PETs (Privacy Enhancing Technologies)

Oltre agli strumenti giuridici, esistono strumenti tecnologici per proteggersi dalla raccolta di dati su internet.

Anonymous Remailing

Permette all’utente di inviare messaggi di posta elettronica senza rivelare la sua identità. Ci sono due tipi di remailing:

  • Pseudo-anonymous remailing: l’utente invia una richiesta ad un server, detto remailer anonimo, che cancella dal messaggio alcune informazioni che possono identificare l’utente (indirizzo e-mail e nome).
  • Anonymous remailing: utilizza una catena di remailer associata ad un sistema di cifratura a chiave doppia che si mette in funzione ad ogni passaggio. In questo modo ciascun remailer conosce unicamente l’identitĂ  del remailer successivo, ma non conosce altro.

Anonymous Surfing

Permette all’utente di evitare che i server web raccolgano informazioni quali l’indirizzo IP, il browser o altri siti visitati. Ciò è possibile scaricando la pagina web visitata non nel proprio dispositivo ma in un server, detto anonimizzatore, che successivamente la invia al dispositivo dell’utente. Con questo sistema si può navigare in rete senza lasciare tracce identificative.

Dati all’estero

Secondo la direttiva 95/46 è vietato condividere dati con paesi terzi che non garantiscono forme di tutela della privacy adeguate agli standard europei; questo si applica anche al GDPR.

Registro delle attivitĂ  di trattamento

I titolari dei dati ed i responsabili del loro trattamento devono tenere un registro delle operazioni di trattamento dei dati se:

  • L’azienda ha 250 o piĂš dipendenti;
  • L’azienda ha meno di 250 dipendenti ma il trattamento dei dati presenta un rischio per i diritti e le libertĂ  dell’interessato, oppure i dati riguardano condanne penali e reati.

Data breach

Un data breach (fuga di dati) è una violazione dei dati personali che può mettere a rischio i diritti e le libertà di un individuo. Il titolare dei dati ha l’obbligo di notificare l’avvenimento all’autorità garante entro 72 ore dall’incidente.

Il D. Lgs. 196/2003 specifica le misure necessarie per ridurre il rischio di un data breach, mentre il GDPR specifica l’obbligo di adottare misure adeguate per la valutazione dei rischi.

Analisi dei rischi

Il D. Lgs. 196/2003 prevede l’analisi dei rischi derivanti da:

  • Distruzione o perdita dei dati (anche accidentale);
  • Accesso non autorizzato;
  • Trattamento non consentito o non conforme alle finalitĂ  della raccolta. La valutazione dell’impatto si chiama DPIA (Data Protection Impact Assessment)

Nei seguenti casi è obbligatorio effettuare la valutazione:

  • Valutazione sistematica e automatizzata di dati che possono essere utilizzati per profilare gli utenti;
  • Trattamento su larga scala di alcune categorie di dati, tra cui condanne penali e reati;
  • Controllo sistematico di zone accessibili al pubblico.

Prevenzione dei rischi

Il datore di lavoro è chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, cosÏ da ridurre controlli successivi sui lavoratori:

  • Individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;
  • Utilizzare filtri che prevengano determinate operazioni, quali l’acceso a siti inseriti in una black list o il download di file musicali o multimediali.

DPO (Data Protection Officer)

La responsabilità principale del DPO è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative europee e nazionali. È obbligatorio per:

  • Pubblica amministrazione (eccetto le autoritĂ  giudiziarie);
  • Aziende che trattano dati sensibili su larga scala;
  • Aziende il cui trattamento comporta un controllo regolare e sistematico degli interessati.

Norme ISO

  • ISO 9001: requisiti per i sistemi di gestione per la qualitĂ .
  • ISO 27001: requisiti per i sistemi di gestione delle informazioni.

Sanzioni

  • Chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare o responsabile del trattamento.
  • Un titolare del trattamento risponde per il danno causato dal suo trattamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del regolamento o ha agito in modo inadeguato rispetto alle istruzioni del titolare del trattamento.

Il titolare o responsabile del trattamento è esonerato dalla responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile.