Category Archives: Privacy e dati personali

Agendadigitale.eu > Sulla “Cookie Law”

(da Agendadigitale.eu dell’8 giugno 2015)
Ho scritto una cosa per Agendadigitale.eu, sui cookie, visto che se ne parla molto insistentemente.
Un primo abbozzo di idee, con la consapevolezza di non poter toccare tutti i punti nevralgici.
La mia prima impressione è stata che molti dei critici in realtà non hanno letto la “Cookie Law”, preferendo arrovellarsi su questioni tecniche francamente ultronee nel più classico degli italici atteggiamenti: quello del lamento.
In realtà, pur con certi chiarimenti del Garante che hanno reso le cose un po’ fumose, la “Cookie Law” è molto più semplice di quanto si creda.
Stiano tranquilli i blogger se la loro attività è per fini personali (il Codice della privacy stesso ci dice che non è applicabile se il trattamento è fatto a fini personali). Chi, invece, effettua un trattamento per fini imprenditoriali si adegui, magari affidandosi ad un consulente che abbia fondate cognizione giuridiche in materia.
Ecco il pezzo, originariamente QUI. Dando per scontato che i lettori di questo blog sappiano di cosa stiamo parlando.

Tutti contro la “Cookie Law”. Fioccano articoli (ovviamente critici) e, addirittura, petizioni online perché venga meno l’obbligo di dare informativa per l’uso dei cookie ed inserire il relativo banner.

Ed è un moltiplicarsi di sedicente perseguitati, prevalentemente tra le fila dei blogger (o quelli che sono sopravvissuti ai social network).

In realtà, si scopre che non è tutto così nero come sembra, sebbene la materia sia in parte ostica (ma proprio per questo occorrerebbe lasciarla a chi se ne intende) e lo spauracchio delle sanzioni colpisca non poco.

Diciamo, anzitutto, che la “Cookie Law” non è un’invenzione del Garante italiano. Dietro ci sono fonti europee (una direttiva specifica) e italiane (un paio di decreti).

Dunque, il nostro Garante non ha potuto che adattarsi con un provvedimento (ed altri documenti) tutto sommato abbastanza ampio e chiaro, dando un congruo preavviso per gli adeguamenti (ben un anno), malgrado si intravvedano, all’orizzonte, ulteriori chiarimenti ufficiali (che, al momento, lasciano ragionevolmente pensare che non ci saranno immediati controlli e sanzioni).

Ma scendiamo nei particolari.

I cookie sono piccoli file che, all’atto della visita di un sito, si installano, eventualmente, nel dispositivo (quindi, anche sullo smartphone) del visitatore.

Servono per tante finalità e si distinguono in due grandi categorie: tecnici e di profilazione. Poi, capiremo la differenza, ma sin d’ora va detto che quelli di profilazione possono farsi molti (anzi troppi) affari nostri, donde la necessità di una certa disciplina a tutela dei dati personali (o privacy, se vogliamo usare questo termine).

Per proteggere chi, in un certo qual modo, può essere tenuto “sotto osservazione”, si è deciso, con la “Cookie Law” (locuzione oramai usata per comprendere tutte le norme sull’argomento), di imporre determinate formalità. Si valuti, almeno, questa tutela prima di scandalizzarsi.

Approfondendo, si parla della eventualità di dover inserire, sui siti Internet, un banner e/o un’informativa. Ma, in realtà, l’obbligo non vale per tutte le realtà del Web. Stiano tranquilli i più ansiosi.

E’ ovvio, anzitutto, che se il sito non utilizza cookie non si deve fare alcun adeguamento.

Tuttavia se i cookie ci sono un’informativa va sempre data; anche se essi sono utilizzati per mere questioni tecniche (es.: per il login automatico, per tenere traccia del carrello, ecc.). Ma qui credo sia inevitabile affidarsi a chi conosce la materia.

Ma c’è qualcosa che sembra spaventare di più, perché comporta adempimenti tecnici non alla portata di tutti. Insomma, non basta il copia e incolla dell’informativa (pratica che, personalmente, sconsiglio comunque perché le sanzioni ci sono e sbagliare è un attimo).

Si tratta del famigerato banner che, proprio nei giorni a ridosso dell’entrata in vigore della nuova disciplina, è comparso su tanti siti.

Piccola parentesi: a cosa serve il banner? Per far dare il consenso al visitatore informandolo contestualmente del trattamento. Quindi, deve possedere dei precisi caratteri formali, non si può navigare a vista sperando nella buona sorte di azzeccarci.

Siccome sopra abbiamo visto che esistono differenti tipi di cookie, riassumibili in due macro-categorie (tecnici e di profilazione), il banner va inserito sempre o soltanto in presenza di alcuni specifici? Fortunatamente, il banner per il consenso informato è necessario esclusivamente quando si fa profilazione, cioè quando si “studia” il comportamento del navigatore, tipicamente per propinargli qualcosa. Ed è il caso, classico, della pubblicità.

Sotto una diversa prospettiva, nasce l’interrogativo su chi debba provvedere agli adempimenti qualora titolare del sito e “profilatore” (chi fornisce la pubblicità, cioè la “terza parte”) non siano la stessa persona.

Certamente, nell’informativa occorre dichiarare che ci sono terzi che forniscono i cookie, ma il punto è se il titolare del sito (non fornitore di cookie) sia in prima persona tenuto ad ottenere il consenso mediante l’inserimento del banner già visto.

Al momento, questo sembra essere uno dei punti più controversi, almeno in attesa di quanto già accennato, ciò è dei probabili chiarimenti del Garante.

Certo è che – come consiglio finale – se uno vuole essere tranquillo, non sbaglia di certo ad inserire banner ed informative complete, ovviamente fatte come si deve.

Posted in Privacy e dati personali | Tagged , | 4 Comments

E il privacy officer?

Gli addetti ai lavori sanno che se ne parla da tempo, nell’àmbito della più vasta discussione, a livello comunitario, riguardante una proposta di regolamento sulla privacy.
Nel frattempo, qualcuno si è già organizzato, si è messo avanti col lavoro, si potrebbe dire “sulla fiducia”.
Ne scrivono Andrea Lisi, Graziano Garrisi ed Enrica Maio, QUI.

Posted in Privacy e dati personali | Tagged , | Leave a comment

Autopromozione > Sans papier… l’identità digitale

Il 14 novembre sarò a Pordenone a parlare di identità digitale e diritto penale.
Come da titolo, l’oggetto del convegno è decisamente più ampio e, soprattutto, ci saranno relatori ben più importanti di me.
Pordenone è una città gradevole, ricca di fervori culturali e questo è l’ennesimo esempio.
Un ringraziamento a tutti i soggetti che organizzano/patrocinano l’evento.
QUI il programma.

Posted in Privacy e dati personali, Reati informatici | Tagged , | Leave a comment

neXt > Cosa ci insegna la storia delle foto rubate ai vip

Lunedì 1° settembre è partito neXt quotidiano, ma ne ho già parlato.
Il giorno dopo ho scritto il mio primo, piccolo contributo, credendo in un prodotto nuovo, non tenuto all’obbedienza verso i grandi gruppi editoriali.
E’ una scommessa anche per me.
Ecco il mio primo contributo, telegrafico.

(da neXt quotidiano del 2 settembre 2014)

Doveva accadere, prima o poi. Qualcuno sospetta si tratti di una trovata pubblicitaria o che le cose non siano andate esattamente come riferito in prima battuta. Sta di fatto che il problema c’è, eccome: ed ha le sue belle implicazioni giuridiche. Parlo del “Celebgate”: centinaia di account riconducibili ad altrettante VIP violati e saccheggiati, con conseguente diffusione di migliaia di immagini (fotografie e video) intime.

Ma cos’è il “cloud”? Pochi lo sanno, eppure lo abbiamo tutti sul nostro smartphone, sul nostro computer. Cloud significa nuvola e il “cloud” è, appunto, un sistema composto da nuvole-spazi Web nei quali vengono caricati e decentrati tutti i nostri dati affinché li possiamo raggiungere da qualsiasi dispositivo. La posta elettronica, in certe sue specifiche configurazioni, ne è il primo esempio, non è difficile capirlo. Il problema è che ben pochi sanno di mettere in cloud i propri dati perché i nostri sistemi sono spesso impostati per farlo di “default” e senza che l’utente ne sia consapevole. Spesso, peraltro, è possibile evitare tali funzionalità soltanto andando a scavare nei meandri del sistema.

Ma, a ben vedere, indipendentemente dai precisi contorni della vicenda che rimane un po’ fumosa ed ambigua, lo “scandalo” sta avendo due effetti positivi. I produttori di software (delle app per smartphone, in primis) si troveranno costretti a rivedere i propri prodotti, rendendoli più sicuri, in un certo qual modo più “etici”. Gli utenti, invece, da oggi saranno più consapevoli e non esiste alcuna politica di sicurezza senza, appunto, consapevolezza. Brutto da dirsi, ma la tecnologia non è per tutti.

Posted in neXt, Privacy e dati personali, Reati informatici, Sicurezza informatica | Leave a comment

Fuga dall’oblio

Leggo sul Corriere che in America starebbero per lanciare Hidden from Google, “sito che raccoglie e ordina i risultati rimossi sul motore di ricerca”.
Della fragilità del sistema approntato da Google ne eravamo consapevoli tutti. Perché se è vero che, oramai, anche grazie a Chrome per molti utenti di bassa capacità Google è diventato “Internet”, è anche vero che, dietro, tutto rimane al suo posto (se non rimuovi).
Un po’ come il sequestro dei siti per inibizione dell’IP.
La cosa che mi fa specie, però, è che, ancora una volta, sembra tutta colpa di Google che passa come censore perché mette a disposizione degli utenti un sistema per richiedere la rimozione dai risultati (che, tra l’altro, non è accolta automaticamente).
Immeritatamente, perché se non lo fa la paga cara. La Corte UE ha mandato proprio questo segnale, non dimentichiamolo.
L’Unione sembra diventata un postaccio dove vigono regole assurde che si preferisce non rispettare. Google aveva provato a sfuggire protestandosi assolutamente ed esclusivamente yankee, ma gli è andata male.
Quelli di Hidden from Google sono fortunati ad esserne veramente fuori.

Posted in Privacy e dati personali | Tagged , , | Leave a comment

L’album dei fake Panini

L’altro giorno ho riferito della sentenza di Cassazione che ha punito, ai sensi dell’art. 494 c.p. (sostituzione di persona) l’autore di un falso (“fake”) profilo su Badoo.
Si tratta, purtroppo, di casi tutt’altro che rari e, comunque, diffusi su tutti i social network.
Anche di recente, in un tribunale romagnolo, ho avuto modo di trattarne uno, per la verità con un’imputazione più ampia (giustamente) della semplice sostituzione di persona. E’ andata bene, la Polizia postale ha fatto un attimo lavoro ed abbiamo ottenuto un buon risarcimento.
Ma vediamo cosa dice la legge.
L’art. 494 c.p. recita: “Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino ad un anno”.
Si comprende che la disposizione prevede una serie relativamente complessa di ipotesi oltre la vera e propria sostituzione, ma vorrei focalizzarmi sul dolo (specifico) cioè procurare a sé o ad altri un vantaggio ovvero, alternativamente, recare ad altri un danno.
E, in effetti, la casistica ci parla di persone che falsificano gli account, ad esempio, per sembrare più attraenti (spesso utilizzando la fotografia di una persona di bell’aspetto) nei social network principalmente orientati al dating (e Badoo è uno di questi) oppure per denigrare una persona (utilizzando l’immagine, ma associando comportamenti non edificanti – come nel caso della sentenza della Suprema Corte).
Poi, c’è la categoria dei buontemponi che, però, rischiano di diventare stalker…
Stamattina, un amico di Facebook ha segnalato l’ennesimo suo fake. Se non ricordo male, è il terzo in pochi mesi.
Al di là del fatto in sé, ha ricordato che, in Francia, esiste un sito dedicato (tra le altre “truffe”) proprio ai fake che ha il preciso scopo di aiutare gli “usurpati” della propria identità.
E’ un’iniziativa che in Francia ha almeno un sito omologo, in Italia non so (ma se voleste segnalare…).
Pubblica un vero e proprio album degli usurpati, ma, francamente, la cosa mi lascia un po’ perplesso.

Posted in Privacy e dati personali, Social Network | Tagged , , | Leave a comment

Meglio le calunnie in rete della censura di Google?

Qualche giorno fa il Giornale ha pubblicato un articolo a firma Nicholas Farrell palesemente contro il diritto all’oblio (così come sviscerato, tempo fa, dalla Corte UE).
Fa riflettere, certo, ma non credo che l’interrogativo del titolo di questo post possa avere risposta affermativa come quello dell’articolo.

Posted in Privacy e dati personali | Tagged | Leave a comment

Questi fanno sul serio

Personalmente, non pensavo che quelli di Google si sarebbero mossi con tanta solerzia e invece…
Pare proprio che il servizio di rimozione risultati a seguito della nota sentenza europea sul diritto all’oblio sia già lavorando a pieno regime.
Lo si capisce da quanto scritto in calce alle pagine del motore di ricerca.

Google_2

QUI, comunque, qualche info in più.

Posted in Privacy e dati personali | Tagged , | Leave a comment

Troppo bello per essere vero?

Oggi il Corriere spara in prima pagina la notizia che Google, dopo la sentenza della Corte UE, ha predisposto un apposito servizio per la rimozione dai risultati, in ossequio al diritto all’oblio.
Ne rimango impressionato, per mille motivi. Mi riservo di vedere se funziona.
P.S:: Anche Repubblica e La Stampa.

Posted in Privacy e dati personali | Tagged , | Leave a comment

La privacy degli altri

L’Istituto Vendite Giudiziarie di Varese mette all’asta degli oggetti rinvenuti in aeroporto.
L’avviso. tra le altre cose, chiarisce quanto segue

Si comunica inoltre che chi dovesse acquistare computer, telefoni e macchine fotografiche digitali dovrà provvedere alla distruzione dei dati contenuti. E’ fatto divieto assoluto della divulgazione degli stessi. I trasgressori saranno perseguibili a termine di legge.

Personalmente, lo trovo parecchio imbarazzante.

Posted in Privacy e dati personali | Tagged , | Leave a comment