GDPR

Consulenza, Formazione, GDPR, Internet

Diritto di recesso e Internet: come funziona?

Come funziona il diritto di recesso quando si tratta di

Diritto di recesso

Per gli acquisti online, se cambiamo idea entro 14 giorni dall’acquisto è possibile esercitare il diritto di recesso disciplinato dall’articolo 54 del Codice del Consumo. Questa garanzia legale ci offre una tutela aggiuntiva: se il prodotto acquistato non ci piace, lo possiamo restituire senza fornire motivazioni e ricevere il rimborso pari al 100% del prezzo d’acquisto. I 14 giorni partono dal momento in cui il consumatore acquisisce il possesso fisico dei beni.

Diritto di recesso 2014: Cambiano le Regole a partire dal 13 Giugno

Questo diritto è stato inserito proprio per permettere al consumatore di verificare personalmente la qualità del bene acquistato a distanza.

Pertanto è bene sottolineare che il diritto di recesso non può essere esercitato in negozi fisici.

Infatti questo vale solo per acquisti effettuati in remoto, per esempio tramite siti di commercio elettronico. Tuttavia, anche se si acquista in un negozio fisico si può restituire il prodotto e procedere col rimborso, ma solo se si tratta di oggetti difettosi o danneggiati. Inoltre, il diritto di recesso non può essere esercitato da professionisti che acquistano il prodotto per la propria attività tramite Partita Iva.

Diritto di recesso previsto nel Codice civile e quello previsto nel Codice del consumo

Il diritto di recesso disciplinato dal Codice del Consumo presenta elementi differenti rispetto alla fattispecie regolata nel Codice Civile, all’art. 1373: “1. Se a una delle parti è attribuita la facoltà di recedere dal contratto, tale facoltà può essere esercitata finché il contratto non abbia avuto un principio di esecuzione. 2. Nei contratti a esecuzione continuata o periodica, tale facoltà può essere esercitata anche successivamente, ma il recesso non ha effetto per le prestazioni già eseguite o in corso di esecuzione. 3. Qualora sia stata stipulata la prestazione di un corrispettivo per il recesso, questo ha effetto quando la prestazione è eseguita. 4. È salvo in ogni caso il patto contrario“.

Dunque alle parti è consentito sottrarsi a tale disciplina generale. Infatti le stesse potranno concordare ed inserire nel contratto, altri elementi, come una maggiore garanzia per l’esercizio del recesso. Sempre da un punto di vista codicistico, il recesso è anche un mezzo per contestare la validità della transazione, in caso di vizi del contratto o di inadempimento dell’altro contraente.

Infine, il diritto di recesso regolato dal Codice del Consumo mira esclusivamente alla completa tutela del consumatore, in quanto considerato la parte debole del contratto.

contattaci
Formazione, GDPR, Sicurezza informatica

Protezione dati e personale di desk: l’ABC del GDPR

Un aspetto importantissimo che riguarda il personale di desk e la loro formazione è la questione della protezione dati ossia l’ABC del GDPR.

L’esempio classico è quello dello studio medico. Nel momento in cui passiamo davanti al tavolo della segretaria, troviamo in bella mostra l’agenda con gli appuntamenti della settimana, un paio di ricette che qualcuno dopo passerà a prendere e la cartella clinica con il nome del paziente visitato prima di noi. Lo stesso può accadere in decine di altre situazioni. E’ questo il problema della gestione dei dati personali: divulgazione non autorizzata, distruzione, modifica o accesso agli stessi (data breach). In poche parole, i titolari del trattamento dei dati che dovrebbero uniformarsi a tale regolamento attraverso un’ adeguata formazione.

I Titolari del trattamento, anche quando decidono di adeguare la loro azienda al GDPR, hanno spesso la tendenza a concentrarsi sulla foresta. Tuttavia dimenticano che questa è formata da tanti piccoli alberi ciascuno dei quali ha la sua funzione. Ribadendo che il GDPR non prevede forme specifiche o misure definite in ordine alle modalità di protezione e trattamento dati da parte del titolare. Difatti quest’ultimo ha la massima discrezionalità. E’ lui a decidere per ogni suo singolo incaricato o dipendente quali misure debbano essere adottate e quale formazione debba essere impartita.

Formazione e privacy

Ma anche qui il testo del GDPR è ancora decisamente generico, fino al punto che il termine formazione non si trova nei considerata e viene nominato per la prima volta all’art.39 tra i compiti del Responsabile della Protezione Dati, laddove venisse incaricato dal Titolare di provvedervi. Insomma, nessun obbligo o dovere specifico così come non è formalmente previsto il costante cambio di password.

Protezione dati gdpr e formazione

La formazione la possiamo ritenere implicita nei dettati dell’art. 32 GDPR e, in ogni caso, è uno dei doveri principali per ogni titolare, nonché norma comportamentale dovuta. Tuttavia, molte aziende, né comprendono né valutano i costi ed i rischi e quindi di conseguenza induce le stesse a trascurarla. I rischi possono essere elevati e lo sanno bene molto. Ad esempio i laboratori di analisi sanzionati dal Garante per € 10.000 dopo che avevano inviato a dei pazienti i risultati delle analisi di altri.

Data Breach

L’esperienza di ogni giorno ci insegna che i primi a venire in contatto con i dati personali non sono certo i vertici di un’azienda, bensì segretarie, collaboratori esterni che raccolgono proposte, coloro che ricevono e leggono email per informazioni e preventivi. Tutti soggetti che, purtroppo, non sempre sono oggetto di adeguati percorsi formativi. Inoltre, spesso avviene che aziende terze che agiscono in forza di un contratto per conto del titolare, raccolgano i dati di possibili futuri clienti.

Fin troppo spesso si tende a non rispettare la catena dei rapporti e delle lettere di incarico. I passaggi che portano, ad esempio un operatore di call center (sempre che lo faccia in maniera legittima), a usare un numero di telefono, non vengono presi in considerazione. Pertanto, sia l’ operatore, che l’ incaricato che raccoglie una proposta per conto di un fornitore, svolgono attività di trattamento dati per la quale dovrebbero avere ricevuto un’adeguata formazione, istruzioni e, ovviamente, una lettera di incarico che contenga i limiti dell’attività svolta.

Anche queste sono considerazioni e elementi di valutazione che un imprenditore oculato dovrebbe tenere presenti al momento della predisposizione della policy privacy aziendale. Sono infatti questi potenziali rischi e cause di data breach. Non si tratta quindi solo di indicare norme comportamentali, ma anche di avere un chiaro quadro dell’attività dell’azienda, i rapporti contrattuali con partner e fornitori e predisporre adeguate lettere di incarico.

Il non farlo è data breach.

contattaci
Consulenza, Database, GDPR, Smartphone

Telefonia: come difendersi da pubblicità indesiderata.

Chi di noi non ha mai ricevuto pubblicità martellante tramite telefonia, vediamo come difendersi da questa pubblicità indesiderata.

La situazione che dobbiamo contrastare è quella, comune a molti utenti, di ricevere un incessante numero di messaggi (perlopiù) dal proprio operatore o ex operatore. Nei confronti del proprio ci sono più strumenti di difesa, ad esempio è possibile telefonargli per revocare il consenso oppure – metodo più comodo e anche più efficace dato che è certo e non è verba volant – andare nella propria pagina riservata sul sito dell’operatore.

Tutti hanno quindi una sezione privacy o consensi marketing dove gli utenti possono (o forse, devono, sarebbe da dire) disabilitare l’autorizzazione a ricevere queste comunicazioni. Potremmo scoprire più voci a riguardo e tutte attive (anche se non ricordiamo – strano caso – quando abbiamo autorizzato l’operatore in tal senso; forse erano voci che il negoziante della sim ha spuntato senza chiedercelo, sul contratto).

Comunicazione all’operatore telefonico

Ad esempio su Tim troviamo quattro voci. Invio di materiale pubblicitario, vendita diretta, ricerche di mercato di Tim. Profilazione individuale (delle nostre abitudini). Invio di materiale pubblicitario di partner di Tim. “Comunicazione dei dati personali alle Società del Gruppo TIM ed alle Società Partecipate, che li tratteranno per proprie finalità di marketing, con modalità automatizzate di contatto”. Consensi diversi per attività solo apparentemente simili tra loro.

telemarketing e pubblicità indesiderata

Più arduo per gli ex clienti. Devono mandare una mail. Per Vodafone è [email protected]. Wind3 chiede di scrivere a [email protected] oppure [email protected] e che poi ci metterà 20 giorni per ottemperare. Per Tim: [email protected]. Tim è il solo operatore che per la richiesta bisogna indicare non solo il numero telefonico, ma anche “il Codice Fiscale, allegando una copia del documento di identità valido del titolare della linea telefonica interessata”. Per sicurezza facciamolo anche con gli altri. Con Poste Mobile invece non c’è una mail ad hoc, ma viene detto di revocare i consensi scrivendo ad [email protected].

Diversa ancora, e più articolata, la procedura Fastweb. Cambia tra gli ex clienti e chi non ha mai avuto rapporti con Fastweb. Se non sei mai stato cliente Fastweb e hai ricevuto contatti commerciali da parte di Fastweb puoi esercitare il diritto di opposizione (non ricevere più chiamate) compilando un modulo online, oppure inviando una mail all’indirizzo [email protected] indicando nome, cognome, codice fiscale e numero di telefono sul quale sei stato contattato. “Sarai eliminato dalle liste di contatto utilizzate dalle strutture di vendita di Fastweb”. Se sei stato un cliente Fastweb e vuoi esercitare i diritti di cancellazione o di portabilità dei tuoi dati personali potrai farlo compilando un altro modulo online. 
Al contempo, Fastweb aggiunge nel paragrafo dopo (https://www.fastweb.it/adsl-fibra-ottica/privacy/) che si può usare la mail [email protected] (non è chiaro se vale anche per gli ex clienti).

Revoca del consenso

Certo sarebbe bello poter avere un unico punto di contatto a cui mandare, per qualsiasi azienda, la richiesta di revoca di consenso. Questa guida sarebbe molto più snella e non dovremmo cercare mail e modalità, tutte diverse, sui siti degli operatori. Il punto unico ci sarebbe già, si chiama Registro delle opposizioni, peccato però che ancora non funziona con i numeri di cellulare. La sua revisione è prevista (e in ritardo) da anni e arriverà forse finalmente nei prossimi mesi. A quel punto basterà contattare il registro per revocare tutti i consensi attivi, di qualsiasi azienda, su un proprio numero.

contattaci
GDPR

WhatsApp per le comunicazioni aziendali: quali rischi si corrono?

È sicuramente una soluzione comoda quella di usare WhatsApp per le comunicazioni aziendali e, magari, scambiare informazioni e documenti. Quali sono ormai le aziende che non hanno il loro gruppo WhatsApp, usato per comunicare di tutto tra tutti i dipendenti. Dai turni di lavoro alle indicazioni su come realizzare un nuovo progetto fino ad arrivare, ovviamente, ai documenti. Certamente i più pensano che, trattandosi di messaggi interni ad un gruppo di colleghi e magari indispensabili per la produzione, il tutto sia giustificato e non richieda alcuna accortezza se non la riservatezza degli utenti. Ma l’uso di WhatsApp per le comunicazioni aziendali non è esente da rischi: vediamo quali tra i più comuni si corrono.

Niente di più sbagliato

WhatsApp per le comunicazioni aziendali: quali rischi si corrono?

Notizie di stampa riferiscono di un’indagine che ha evidenziato come oltre il 70% dei dipendenti utilizzi questo sistema, al di là dei gruppi, per inviare dati, documenti, notizie sensibili e ogni altro tipo di informazione relativo all’attività aziendale. Ovviamente in pochissimi si rendono conto che, nella quasi totalità dei casi, viene utilizzato uno strumento non fornito dall’azienda e veicolare informazioni e documenti con queste modalità potrebbe già costituire una violazione del GDPR. Basta infatti chiedersi se l’azienda abbia autorizzato ogni dipendente, previo percorso formativo, a usare il proprio cellulare e quello specifico mezzo di trasmissione delle informazioni. E accanto ai cellulari dobbiamo anche considerare i computer ed i portatili oltre alle piattaforme di videoconferenze, da Skype fino alla gettonatissima Zoom.

Rischi di perdita dati e di contenuti che raddoppiano per le aziende che, difficilmente, possono controllare i loro dipendenti non solo fuori dall’orario di lavoro, ma anche nelle proprie abitazioni. Di conseguenza gli stessi apparati sono usati anche da moglie e figli, magari per vedere video, collegarsi a siti non sicuri o aprire mail inattendibili.

Data breach

Vi sono inoltre altri rischi che sarebbe opportuno evitare come, ad esempio, quello che un documento possa transitare da un cellulare all’altro fino a diventare virale. Lo sa bene la Banca di Transilvania. Questa infatti è stata sanzionata per 100.000 euro dal Garante della Romania. Questo perché i dipendenti avevano prima fatto girare al loro interno e poi all’esterno, la lettera con la quale un cliente rispondeva in maniera ironica ad una richiesta di spiegazioni. Mancata adozione di misure organizzative e inefficienza della formazione.

data breach

Sicurezza dei dati aziendali

Già prima della pandemia era emerso come gran parte dei data breach fosse imputabile ai dipendenti che, con comportamenti a dir poco leggeri, avevano messo a repentaglio la sicurezza dei dati aziendali. Addirittura in alcuni casi anche con autorizzazione più o meno implicita da parte del datore di lavoro ad utilizzare strumenti reperibili online e gratuitamente. Non valutando purtroppo tutti i connessi rischi e le immaginabili conseguenze. Quello della banca rumena è solo uno dei possibili esempi. Immaginiamo cosa potrebbe accadere se in una chat di colleghi venisse inviato un certificato medico con indicate particolari patologie. Oppure su un gruppo aziendale foto di un cliente in un momento di imbarazzo magari scattate a sua insaputa.

Informativa sulla privacy

Si tratta di un problema non da poco per le aziende che, magari pensando di risparmiare, utilizzano piattaforme che possono generare altri tipi di costi più che benefici. Ad esempio sanzioni da parte del garante e data breach che potrebbero anche imporre una completa revisione, con i conseguenti oneri, dell’intera politica privacy aziendale. L’uso dei sistemi di messaggistica e dei social, è uno degli aspetti da considerare al momento di predisporre la privacy policy come fattore di rischio.

contattaci
GDPR

Pagheresti per ricevere pubblicità? Lo stai già facendo!

Carosello era il modo gentile e educato con cui la pubblicità entrava nelle case degli italiani con i volti rassicuranti degli attori e dei personaggi dei cartoni animati dell’epoca: Calimero, Gatto Silvestro, Macario, Totò, Gino Bramieri, Nino Manfredi e Ernesto Calindri solo per dirne alcuni. Anche famosi registi come Fellini, Pasolini e addirittura Sergio Leone erano dietro alle macchine da presa.

Carosello era un format in cui si susseguivano filmati di circa due minuti e solo gli ultimi trenta secondi erano dedicati al prodotto; la prima parte era una storia per attirare l’attenzione di un pubblico per il quale il programma era un amico con cui rilassarsi la sera, dopo o durante la cena, con la famiglia. Un programma per tutte le età quando la RAI aveva un solo canale ed era in bianco e nero. Improponibile al giorno d’oggi: chi starebbe a guardare due minuti filati di pubblicità? Pochi secondi di spot sono anche troppi e la pubblicità non si guarda in poltrona.

Le aziende si sono adattate ai nuovi schemi, ai contesti e agli strumenti dai quali l’utente moderno  non riesce a staccarsi e che sono il veicolo per portare messaggi pubblicitari facendo pagare l’utente stesso che, dopo, comprerà quel prodotto che gli è comparso sulla schermata del tablet o dello smartphone.

La pubblicità non è più quella di una volta che usava un cartellone sulla strada più trafficata sperando che qualcuno lo notasse per poi entrare nel negozio più vicino; oggi è il cliente che fornisce alle aziende tutti gli elementi necessari per farsi individuare, profilare e, quando chiederà qualcosa allo strumento digitale che ha sempre in mano, un sistema di intelligenza artificiale gli farà quasi magicamente apparire sullo schermo quello che il navigatore crede sia la soluzione migliore per lui.

Invece il prodotto consigliato è il frutto di un’analisi incrociata fatta di click, preferenze, dati di navigazione, precedenti ordini e ricerche fatte in precedenza. Da questa analisi, in poche frazioni di secondo, viene rilevato chi è l’autore della ricerca e possono iniziare le offerte da parte dei motori di ricerca per essere i primi a comparire sulla schermata che, quasi sempre, è quella di Google.

Il cliente non è però consapevole che, con questo sistema, ha pagato due volte: in euro o dollari il prodotto acquistato e, prima ancora, con i suoi dati personali, il privilegio di ricevere l’offerta personalizzata. Premessa: i dati personali sono la benzina del motore di internet e, al contempo, un bene che vale più dell’oro e del petrolio: altrimenti perché vi sarebbero così tanti furti di dati?

Per capire l’ulteriore pagamento effettuato dal cliente è opportuno sapere che una sentenza del TAR del Lazio ha stabilito come l’adesione ad un social non sia un gesto concesso a titolo gratuito dalle piattaforme: si tratta di un vero e proprio contratto che l’utente conclude con i vari Facebook, Instagram e che paga con i propri dati personali. Non solo dati identificativi, ma anche le preferenze, le interazioni, i like, la partecipazione a gruppi per non parlare delle foto da cui si può capire lo stile di abbigliamento, le vacanze preferite, gli animali domestici e non solo. Quel click con cui si chiede di dichiara voler andare avanti nella navigazione è la risposta affermativa alla domanda se sono state “lette, comprese e accettate” le condizioni di navigazione e le modalità di trattamento dati: spesso, anche quelli dei propri familiari. Non sei controllato da Internet: sei tu che lo hai permesso con un click: non dimentichiamolo. Il GDPR, la nuova normativa europea  sulla protezione dati, ha portato a qualche piccolo passo avanti ma, al momento, sembra che solo una piccola parte delle aziende italiane si siano adeguate, con buona pace della privacy. Intanto rimpiangiamo la vecchi pubblicità di una volta e accontentiamoci di offerte seriali h 24 nell’arco di tutta la giornata.

contattaci
GDPR

Smart Working e GDPR

Avv. Gianni Dell’Aiuto – Consulente privacy e DPO

Lo smart working è diventato ormai un modello che piace e che, una volta terminata l’emergenza Covid, potrebbe diventare specialmente per molte aziende private, la regola e non più l’eccezione o la soluzione ad una emergenza. Minori costi per l’azienda e flessibilità da parte dei dipendenti nel corso della giornata. Meno costi per spostamenti, pasti fuori casa e conseguenti ticket: una soluzione che potrebbe accontentare tutti ma che impone un’attenta valutazione sugli aspetti relativi alla privacy sia per i dati che devono essere trattati sia per il controllo a distanza da parte del datore di lavoro.

Per quanto riguarda questo aspetto erano stati realizzati degli interventi addirittura sullo Statuto dei Lavoratori che, nel 1970, non poteva prevedere le moderne modalità di prestazione dell’attività lavorativa. Il “Jobs Act” ha provveduto tra l’altro ad eliminare l’esplicito divieto di controllo a distanza della prestazione lavorativa, sancendo una sorta di “permesso condizionato” di utilizzo degli impianti audiovisivi e di altri strumenti dai quali possa derivare anche la possibilità di un controllo a distanza dell’attività del lavoratore esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro o per la tutela del patrimonio aziendale.

Risultato immagini per smart working

Ma una cosa di cui, specialmente all’inizio della pandemia, sembra sia stato tenuto poco conto da parte delle imprese, è stata l’applicazione del GDPR. Le necessità di non interrompere il lavoro e di mantenere i ritmi della produzione non hanno fatto fermare l’attenzione e porsi alcune domande essenziali che un imprenditore avveduto dovrebbe peraltro considerare.
È infatti lui che in quanto Titolare del Trattamento ha la responsabilità di prevedere le modalità di protezione anche in situazioni di emergenza.

Ecco che diventava quindi opportuno chiedersi, in caso di lavoro svolto da remoto, se il sistema di protezione dei dati dovesse essere oggetto di variazioni o accorgimenti particolari ad iniziare dal fatto che le linee su cui dovrà necessariamente connettersi il dipendente non sono sicure come sono (o dovrebbero essere) quelle aziendali. Non è un aspetto da poco anche considerando che sulle stesse linee, magari in contemporanea, potrebbero collegarsi anche i figli che adottano la didattica a distanza e, inoltre, che potrebbero essere usati terminali non aziendali. Non è certo infrequente che qualcuno disponga a casa di un computer che offre prestazioni nettamente superiori a quelle di un’azienda.

All’inizio della pandemia le domande rivolte anche al Garante in materia di trattamento dati riguardavano principalmente le modalità di controllo della salute dei dipendenti e in pochi consideravano che nel momento in cui veniva attivava la VPN si avviava un trattamento aggiuntivo magari da inserire nell’apposito registro per le aziende che devono tenerlo.

Risultato immagini per smart working

Inoltre in pochi avevano debitamente istruito e formato il proprio personale sui rischi che potevano derivare dall’utilizzo di computer non protetti o usati da altre persone all’interno dello stesso nucleo familiare. Dalle notizie attinte in cronaca emergono addirittura accessi da parte di sconosciuti a lezioni in DAD e perfino il blocco dell’anagrafe di due comuni italiani a causa di attacchi informatici subiti da impiegati che stavano lavorando in remoto.

È un aspetto più che mai da tenere in considerazione da parte dei Titolari del trattamento: formazione, apparati sicuri, linee sicure e rigorose indicazioni per il personale sono adesso precisi doveri ai quali un’impresa non può sottrarsi non solo per evitare data breach e altri rischi, ma anche possibili sanzioni del Garante.

contattaci
GDPR

E i vostri Cookie sono in regola?

Gianni Dell’Aiuto

La CNIL è l’equivalente francese del nostro Garante per la Privacy e si sta dimostrando particolarmente attenta all’applicazione del GDPR; in particolare ha posto la propria attenzione sui cookie.
I “biscottini” infatti sono il primo e più sottovalutato strumento che può essere utilizzato per la raccolta dati e la profilazione dei visitatori di un sito.

Tra le numerose sanzioni comminate ne spiccano in particolare due, sia per l’importanza dei soggetti vittima del provvedimento sia per gli importi commisurati al fatturato delle stesse. Cento milioni di euro ad Amazon e trenta milioni a Google. Si tratta di sanzioni di cui non si trovano precedenti per violazione dei consensi Cookie  e che, necessariamente, dovranno indurre web designer e operatori di siti web a rivedere le proprie policy, magari iniziando dall’informare i propri clienti dei rischi che corrono per mancati adeguamenti.

Una breve premessa. I cookie sono stringhe di testo che il browser colloca all’apertura di una pagina web. Salvano i dati dell’utente durante la visita di un sito web e migliorano la capacità di navigazione  ad esempio memorizzando i dati di login sul browser e le preferenze. Peraltro spesso i cookie non sono conciliabili con la protezione dati poichè tracciano precisi aspetti del comportamento degli utenti durante la navigazione, permettendo poi ad esempio la personalizzazione della pubblicità sul browser. Un chiaro sistema di profilazione, particolarmente i cookie di tracciamento e di targeting.

Chiaro come questo apparentemente insignificante particolare sia viceversa il primo aspetto da considerare per ogni azienda nella creazione di un indispensabile sito web. L’utente deve essere messo in condizione di sapere a che cosa presta il consenso e non, come purtroppo accade, avere solo la possibilità di accedere al sito accettando ogni possibile cookie e, di conseguenza, ogni trattamento dei suoi dati. Divieto assoluto, ad esempio, di caselle pre-spuntate che per la revoca del consenso richiedono un opt-out.

Con il termine inglese opt-out (in cui opt è l’abbreviazione di option: opzione), traducibile in italiano come rinuncia o deroga, ci si riferisce ad un concetto della comunicazione commerciale diretta secondo cui il destinatario di una comunicazione commerciale non desiderata ha la possibilità di rifiutare di ricevere ulteriori invii in futuro

Il GDPR ha reso rigorosa la definizione di cookie, per cui un banner di consenso cookie per essere a norma deve contenere un testo chiaro che informi l’utente sull’utilizzo dei cookie. Deve informare inoltre l’utente che può accettare o rifiutare i cookie e permettergli di prestare il consenso per ogni finalità separatamente. Divieto quindi di dare maggior rilievo ai pulsanti di accettazione.

Perché la sanzione ad Amazon? Semplicemente perché non è stata in grado di auto-bloccare i cookie: su amazon.fr, i cookie venivano rilasciati prima del consenso dell’utente. Inoltre l’avviso nel banner era incompleto e non chiaro: il banner non menzionava in nessuna parte del sito che gli utenti potevano rifiutare i cookie. Inoltre, le finalità di questi non erano esplicite: per esempio i cookie erano utilizzati per mostrare annunci personalizzati all’insaputa dell’utente stesso.

Google invece ha ricevuto la sanzione anch’essa perché non era stata capace di auto-bloccare i cookie su google.fr, e perché i cookie venivano rilasciati prima del consenso dell’utente. Inoltre l’’avviso nel banner era incompleto poiché rilasciava un promemoria con le opzioni “accedi ora” e “ricordamelo più tardi” ma non informava l’utente sui cookie che venivano caricati sul browser e l’uso di questi.

Due piccole bucce di banana su cui sono scivolati due grandi colossi e che impongono a tutti un’attenta revisione dei siti e delle cookie policy.

contattaci
GDPR

False credenze e luoghi comuni sulla privacy

 Gianni Dell’Aiuto

Parliamo di luoghi comuni ed evitiamo troppi tecnicismi; se da un lato è l’incipit di questo intervento, dall’altro è la sostanza delle risposte che i consulenti privacy ottengono quando cercano di far comprendere ai destinatari del GDPR le conseguenze cui vanno incontro in caso di mancata adozione delle misure minime per la protezione dei dati. Spesso imprenditori anche con esperienza e professionisti, nel momento in cui vengono richiamati all’importanza di una norma che, non dimentichiamolo, prevede ben precisi obblighi a cui dare esecuzione, hanno reazioni del tipo “Io non ho niente che possa essere rubato”; “Ho l’antivirus (senza sapere neppure quale) e cambio la password ogni mese (e magari mettono la loro data di nascita invertendo i numeri) o, la più classica delle risposte errate “Non verranno mai a controllarmi.” Non ultima, quando viene fatto presente quali possono essere le conseguenze, oltre alle sanzioni, la risposta è fin troppo spesso le risposte variano dal “tanto non ho niente e non pago” o la più disarmante “se vengono gli lascio le chiavi chiudo e vado in vacanza.”

Non sono frasi prese a caso o che si sentono raramente, purtroppo sono reali e prova ne è che, sulla abse dei dati disponibili, sono circa il 75% le aziende e i professionisti italiani che non si sono adeguati al GDPR. Tra questi non si includono soltanto coloro che nulla hanno fatto, ma anche tutti coloro che si illudono di avere un’azienda messa a regola solo perché hanno inserito sul loro sito una informativa privacy standard raccolta in rete o nominato un dipendente, spesso una segretaria o uno stagista come responsabile del trattamento. Non ultime alcune Pubbliche Amministrazioni che, ancora, hanno sui loro siti istituzionali indicazioni che richiamano l’articolo 13 abrogato del D. Lgs. 196/2003. E potremmo continuare con decine di esempi simili, ma limitiamoci a citare la risposta più scoraggiante che viene da chi crede che “sono troppo piccolo e la privacy a me non si applica.” Magari previa acquisizione di notizie su Google o tramite informazioni raccolte da un sedicente esperto.

GDPR: NUOVA CONVENZIONE PER SOFTWARE MAINPRIVACY - News Article

Purtroppo non vi è ancora una consapevolezza non solo diffusa, ma addirittura adeguata dell’importanza della protezione del dato personale. Si tratta invero di un aspetto ancora non appieno entrato nella cultura d’impresa che dovrebbe muovere una sana gestione anche in vita della definitiva entrata in vigore della riforma del diritto fallimentare, ma anche e principalmente di un elemento connaturato ad una sana gestione aziendale.

Tra gli ostacoli maggiori verso la creazione di una cultura della protezione del dato troviamo, oltre alla normale ritrosia  dovuta ai costi ed al fatto che si tratti di un’imposizione della non amata Europa, una più generale forma di disattenzione e distrazione da parte dell’utenza che, sempre per usare luoghi comuni, clicca e sottoscrive tutto quanto gli viene presentato con la convinzione del “tanto siamo tutti controllati e sanno già tutto di noi.”

Non è una strada semplice da percorrere quando si tratta di un percorso che dovrebbe essere compiuto dalle due figure principali del GDPR in maniera congiunta: da un lato l’Interessato che dovrebbe comprendere come la norma tuteli la sua sfera privata da attività fin troppo invasive e, dall’altro, il Titolare del trattamento che ancora non riesce a rendersi conto che i dati di cui viene in possesso sono un vero e proprio tesoro per la sua azienda oltre che un elemento essenziale per lo sviluppo e l’implementazione dei target di mercato.

L’assenza di forme di assistenza alla comprensione e strumenti di formazione da parte anche dello stesso Garante sarebbero quantomeno opportuni se non addirittura, auspicabilmente, un intervento fin dalle scuole dove l’informatica viene insegnata solo sotto un punto di vista tecnico e non certo etico, altrimenti vi sarebbe quantomeno un calo di iscrizioni o accessi ai social.

Forse un piccolo contributo potrebbe venire se, almeno sotto il punto di vista terminologico si iniziasse correttamente a parlare di “protezione dati” e usare meno il termine privacy che, seppur adottato anche dal garante, nel nostro ordinamento indicherebbe il diritto alla riservatezza della sfera privata, ergo il divieto nei confronti di chiunque di spiare nelle abitazioni e nei luoghi di lavoro altrui, sempre per dirlo con termini semplici.

Potrebbe essere un primo piccolo ma significativo passo avanti magari se accompagnato da un insegnamento, quasi fosse un mantra, che un portatile, uno smartphone e un computer sono armi: vanno maneggiate con cura e, chissà, forse un giorno occorrerà uno specifico porto d’armi.

contattaci
GDPR

GDPR, ma è proprio necessario?

Avv. Gianni Dell’Aiuto
Per imprese e professionisti è soltanto un costo; per gli utenti è solamente una perdita di tempo perché “tanto ormai sanno tutto di noi, ci controllano, la privacy non esiste.” E con il semplicismo viene stravolta completamente una delle più importanti innovazioni della rivoluzione digitale che, invece, è stato concepito come strumento di protezione per gli utenti e, laddove ben applicato, si può rivelare formidabile strumento dell’organizzazione aziendale.

Facciamo una premessa di carattere concettuale che aiuta non poco a chiarire l’argomento. Basterebbe smettere di usare una volta per tutte di usare il termine privacy per rendere tutto più comprensibile. La privacy è il diritto alla protezione della nostra sfera personale; la privacy si può esemplificare nel divieto nei confronti di tutti di non essere spiati nelle nostre abitazioni e nei luoghi di lavoro. Il GDPR si occupa della protezione dati personali, vale a dire il dovere da parte di chi è in possesso dei nostri dati di ottenerli legittimamente, farne uso solo per ciò a cui  è stato autorizzato, non cederli a terzi e vigilare sulla loro conservazione. Deve evitare di perderli, che gli vengano sottratti e, nel contempo, consentire l’esercizio dei diritti garantiti dalla legge da parte di coloro che hanno riposto in lui la propria fiducia consegnandogli non solo nome e mail ma, di fatto, la loro vita privata.

Sono le due facce della stessa medaglia: da una parte chi consegna ad un’azienda o un professionista i propri dati personali e, dall’altra chi li deve conservare e proteggere.

Perché questa scelta da parte del legislatore europeo che ha voluto introdurre un sistema omogeneo in materia per tutta l’Unione? Quando non esisteva ancora internet il problema era meno sentito e probabilmente non si poneva, ma da quando il quotidiano si è digitalizzato sono sempre meno le persone che non utilizzano Internet. Dall’interagire al mondo del lavoro ed anche ormai nella Pubblica Amministrazione, il cambiamento radicale che Internet ha portato al nostro sistema di comunicazione è stato totale e non è possibile tornare indietro: semmai il contrario. Per poter funzionare, la rete ha bisogno di informazioni che costituiscono il suo carburante e queste informazioni, gestite da sofisticati sistemi di intelligenza artificiale e algoritmi, vengono ogni giorno immesse online dai navigatori. Pochissimi tra noi usano più prendere appunti su un taccuino o un diario e preferiscono archiviare qualsiasi cosa digitalmente, come informazioni bancarie, contatti, indirizzi, nelle memorie di un computer o dello smartphone. Questi dati sono inoltre diventati indispensabili alle aziende per poter conoscere la propria clientela, contattarla, fidelizzarla, offrire servizi customizzati e garantirsi la propria esistenza sul mercato.

L’UE si è quindi posta la domanda su come tutelare in primis gi utenti di internet da un uso sconsiderato o illecito dei loro dati e, allo stesso modo, mettere un argine a forme di utilizzo palesemente in divieto dei diritti dell’utenza. Ecco quindi che, nel 2016, nasce il General data protection regulation (GDPR) che dal maggio 2018 dovrebbe essere applicato da parte di chiunque gestisce, per contratto, necessità o legittimo interesse, i dati personali altrui.

Si tratta di una normativa complessa che, purtroppo, viene ancora considerata un eccesso di pezzi di carta ed inutile burocrazia nonché di costi; tuttavia è probabilmente un’importante passo avanti, o forse il primo, per creare la consapevolezza dell’importanza del valore dei dati e di come proteggerli sia un diritto di ognuno e un dovere di chi li detiene. Riflettiamo sulla circostanza che, oggi, il furto di dati online sembra essere il crimine più diffuso al mondo; non meravigliamoci. I dati personali valgono, si dice, più dell’oro e del petrolio messi insieme. Ecco il perché di una norma che, purtroppo, deve fare ancora molta strada prima di essere compresa dagli utenti e applicata dalle imprese.

GDPR

I rischi della privacy fai da te

Avv. Gianni Dell’Aiuto
Si tratta di una banalissima coincidenza, una semplice casualità, ma la circostanza che l’informativa per il trattamento dei dati personali del D. Lgs. 196/2003 è disciplinata dall’art. 13 e che anche nel GDPR è sempre lo stesso articolo a indicare gli elementi di cui deve essere portato a conoscenza l’interessato, sembra stia ingenerando un po’ di problemi. Non è infatti raro il caso di imbattersi in informative privacy che, a scanso di equivoci, anche perché nel più ci sta il meno, sono così formulate:

“Gentile Cliente, ai sensi dell’art. 13 del D. Lgs. 196/2003 (di seguito “Codice Privacy”) e dell’art. 13 del Regolamento UE n. 2016/679 (di seguito “GDPR 2016/679”), recante disposizioni a tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, desideriamo informarLa che i dati personali da Lei forniti formeranno oggetto di trattamento nel rispetto della normativa sopra richiamata”.

All’apparenza nessun problema, a parte il fatto che l’art. 13 della Legge Privacy, il D. Lgs. 196/2003 è stato abrogato dal D. Lgs. 101/2018. Ecco che troviamo in giro informative che, nel dubbio, li inseriscono entrambi. Usare questi moduli presi online, come una volta si potevano acquistare in cartoleria i moduli dei contratti di locazione, può essere un boomerang.

Niente di grave alla resa dei conti potremmo dire, ma non è una svista da poco inserire in un’informativa, un documento che è anche l’immagine di un’azienda, un articolo di legge abrogato. Si tratta di un evidente segnale di come alla privacy non viene dedicata ancora la dovuta attenzione e sembrano non sortire effetto le notizie dei continui attacchi ransomware e furti di dati, lo spamming continuo, il phishing. Il Garante ha emesso anche emesso sanzioni importanti, prima fra tutti una da oltre dodici milioni di Euro nei confronti di Vodafone, ma tutto ciò non sembra ancora sufficiente per far comprendere l’importanza della protezione dati per le imprese nonchè aumentarenell’utenza il livello di consapevolezza e attenzione sull’importanza della propria riservatezza.

Coronavirus, Garante Privacy: no a iniziative fai da te nella raccolta dei  dati – Editoria.tv

Come detto, per un’azienda, ai fini pratici e di possibili conseguenze sanzionatorie, inserire un articolo di legge abrogato all’interno della proprie informative non comporta conseguenze se non di immagine quantomeno per quella parte di utenza, ancora poca ma si spera in aumento, che pone l’attenzione su dettagli apparentemente piccoli ma fondamentali. In ogni caso si tratta di un danno di immagine, ma è un’applicazione della teoria della finestra rotta. Si tratta di una fattispecie che, nata in ambito sociale e criminologico, si applica anche all’economia e alle realtà aziendali. Un piccolo particolare non curato può portare a successivi danni: una finestra rotta non riparata o sostituita prontamente, è un buco che permette a chiunque di entrare in un’azienda. Oggi un foro di ingresso, anche piccolissimo, può rivelarsi un traforo enorme per chi già da minuscoli spazi riesce introdursi nei nostri computer per rubare dati, metterli in giro o ricattare un’azienda

E’ stato più volte posto in evidenza come il GDPR non si riduca alla firma del modulo privacy e ad un buon antivirus. Il regolamento è un insieme di attività fatto di elementi informatici e anche legali che non sono meno importanti dei software di protezone. Informative, lettere di incarico, contratti e formazione del personale per non esporre la propria impresa a rischi che vanno ben oltre le sanzioni a tanti zeri da parte del Garante. Danni di immagine, reputazione, affidabilità sul mercato, perdita di dati, pagamento riscatti e non solo. Potrebbe risentirne l’intera stabilità dell’azienda.