Rischi per la Privacy, Siti Web e APP: le tue APP rispettano il GDPR ?

Qualche giorno fa una persona mi ha detto: << voglio mettermi a sviluppare APP e siti web, visto che è il mestiere del futuro..in fondo, basta conoscere WordPress per fare un sito!>>

La persona in questione, pur denotando una buona volontà da ammirare, ha trascurato un piccolo dettaglio: la sicurezza informatica..e di conseguenza tutti gli aspetti legati alla protezione dei dati personali di utenti di APP e siti web. Si tratta chiaramente di un aspetto spesso trascurato, ma molto importante.

Quante tra le  APP che utilizzate, magari realizzate da esercizi commerciali locali per velocizzare le operazioni di prenotazione di tavoli al ristorante o accesso al sito di e-commerce, hanno una privacy policy adeguata?

Quanti dei siti  web che visitate, hanno una chiara ed adeguata privacy policy in grado di spiegare a chi vengono comunicati i vostri dati personali (ebbene si:tra i dati personali rientrano anche indirizzi email, indirizzi Ip, cookie analitici e di profilazione)

Qualcuno dirà: << ma in fondo, a cosa serve la privacy policy in una APP o in un sito?quali rischi ci sono?>>

Semplice, una privacy policy realizzata in modo conforme alla normativa serve a tutelare voi e i vostri dati. Sopratutto serve a garantire la conformità con il  Regolamento Generale per la Protezione dei Dati ( GDPR) ed evitare di conseguenza pesanti sanzioni per il titolare del sito web o della APP.

Cosa scrivere nella privacy policy per essere in regola con il GDPR?

Si vedono spesso, pagine con privacy policy “standard” contenenti indicazioni generiche o prive di alcune informazioni. L’art. 13 del GDPR    indica chiaramente quali indicazioni devono essere presenti dell’informativa da fornire a coloro a cui si riferiscono i dati che stiamo trattando (c.d. “interessati”): <<In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili. >>

Ricapitolando: non basta scrivere genericamente  che <<i dati saranno trattati dal titolare del trattamento>> ma occorre indicarne la ragione sociale e i contatti; occorre inoltre indicare le finalità del trattamento (ovvero per quali motivi trattate quei dati) e la/le basi giuridiche in base alle quali i dati vengono trattati (es: riferimenti ad eventuali leggi che vi autorizzano a trattare dati, riferimenti a contratti , etc). In mancanza di una valida base giuridica non è possibile trattare i dati (in altre parole: non potete raccogliere i dati ed elaborarli!),quindi, prima ancora di mettere online il vostro sito o la vostra APP, se utilizzate queste piattaforme per raccogliere dati, individuate una VALIDA BASE GIURIDICA e valutate in quale caso è necessario chiedere il CONSENSO all’interessato al trattamento dati!

Ok,ma chi potrebbe mai contestare il modo in cui la mia APP o il mio sito raccoglie i dati?

La risposta è molto semplice: qualunque persona che,  visitando il sito o scaricando la APP,  riscontrasse una raccolta dei suoi dati, senza l’avvenuta consegna di una opportuna informativa. Come ricorda l’art 13 del GDPR, il titolare del trattamento dati (l’azienda che raccoglie i dati dei visitatori del sito o degli utenti della sua APP) deve fornire l’informativa nel momento in cui ottiene i dati. Chiunque può rivolgersi direttamente al Garante per la Protezione dei Dati Personali  per segnalare trattamenti dati effettuati in maniera non conforme ai regolamenti europei e nazionali.

 

Garante privacy: dopo furto dati dei social, il garante invita a prestare attenzione al SIM SWAPPING

Dopo il furto di dati di alcune piattaforme social, il Garante apre un’istruttoria   e avverte che l’utilizzo dei dati provenienti dalla violazione è illecito.
Utenti invitati a prestare particolare attenzione a possibili anomalie sui propri cellulari o account

Il Garante per la protezione dei dati personali ha avviato un’istruttoria nei confronti di un noto social network, a seguito della violazione dei sistemi del social network che ha determinato la diffusione di dati deglI utenti, compresi  ID, nominativi completi, indirizzi email, numeri di telefono (usati per l’autenticazione a due fattori), collegamenti ad altri profili LinkedIn e a quelli di altri social media, titoli professionali e le altre informazioni lavorative inserite nei propri profili dagli utenti.

Contestualmente, l’Autorità ha adottato un provvedimento con il quale avverte chiunque sia entrato in possesso dei dati personali provenienti dalla violazione che il loro eventuale utilizzo è in contrasto con la normativa in materia di protezione dei dati personali, essendo tali informazioni frutto di un trattamento illecito. L’utilizzo di questi dati, ricorda il Garante, comporta conseguenze, anche di carattere sanzionatorio.

Anche tenuto conto del fatto che l’Italia è uno dei Paesi europei con il numero maggiore di iscritti alla piattaforma, l’Autorità richiama inoltre tutti gli utenti interessati dalla violazione alla necessità di prestare, nelle prossime settimane, particolare attenzione a eventuali anomalie connesse alla propria utenza telefonica e al proprio account.

Questi dati infatti potrebbero essere utilizzati per una serie di condotte illecite, che vanno dalle chiamate e dai messaggi indesiderati sino minacce gravi come le truffe on line o il furto di identità o a fenomeni come il cosiddetto “SIM swapping”, una tecnica utilizzata per violare determinate tipologie di servizi online che usano il numero di cellulare come sistema di autenticazione.

fonte: Sito Garante Privacy

“Elements of AI” : corso Gratuito di Intelligenza Artificiale

Photo Credits: Pixabay

La Fondazione Cotec, attiva nella promozione della cultura dell’innovazione in Italia sotto l’egida della Presidenza della Repubblica, con la partnership accademica dell’Università degli Studi Roma Tre, e con il sostegno della Ministra per l’Innovazione tecnologica e la Digitalizzazione Paola Pisano, ha presentato nei giorni scorsi, il corso online “Elements of AI”. Si tratta di uno strumento gratuito, per incoraggiare un numero più ampio possibile di persone ad imparare cos’è l’intelligenza artificiale: funzionamento, applicazioni e potenziali benefici.

Il corso darà la possibilità a tutti i cittadini di partecipare alla grande rivoluzione dell’intelligenza artificiale, attraverso uno strumento innovativo e liberamente accessibile. L’obiettivo è quello di aumentare le competenze digitali dei cittadini, per sviluppare insieme il sistema operativo del Paese.

L’iniziativa è stata presentata in un Webinar (il filmato dell’evento è disponibile collegandosi al sito www.cotec.it ) venerdì 18 dicembre 2020 alla presenza della Ministra per l’innovazione tecnologica e la Digitalizzazione, Paola Pisano, del Presidente della Fondazione COTEC, Luigi Nicolais, del Rettore dell’Università di Roma Tre, Luca Pietromarchi, del Professore Straordinario della Facoltà di Teologia della Pontificia Università Gregoriana, Paolo Benanti, del Professore Ordinario di Istituzioni di diritto pubblico presso il Dipartimento di Giurisprudenza dell’Università degli Studi Roma Tre, Carlo Colapietro, del Presidente della Pontificia Accademia per la Vita, Vincenzo Paglia, del Presidente di Fondazione ISI, Mario Rasetti, e della Responsabile Digital Delivery Unit di Eni, Alessandra Fidanzi.

Elements of AI (sito web: www.elementsofai.it ) –“ Elementi di Intelligenza Artificiale” è la versione italiana del progetto creato dall’Università di Helsinki e dalla società Reaktor, su mandato del governo finlandese in collaborazione con la Commissione Europea, per sviluppare le competenze dei cittadini in quest’ambito. Il progetto è già presente in 12 paesi europei, e mira ad essere disponibile in tutte le lingue ufficiali dell’Unione europea entro la fine del 2021. Il corso è gratuito ed è pensato per consentire la più ampia fruizione a chiunque fosse interessato ad approfondire queste tematiche.

L’intelligenza artificiale (IA) è tra le tecnologie digitali che possono trasformare radicalmente il nostro mondo. Una tecnologia che combina e fa interagire dati, algoritmi e computer e che negli ultimi anni ha avuto un progresso eclatante. Il corso combina la teoria con esercizi pratici e ognuno può completarlo seguendo il proprio ritmo. Nella sua interezza “Elements of AI” è composto da 6 capitoli, per un totale di circa 60 ore di lezione. Circa 550.000 studenti si sono già iscritti al corso, che è stato completato da studenti di oltre 170 Paesi; Al termine del corso viene rilasciato un attestato.

Garante Privacy : disposti accertamenti anche per mezzo della Guardia di Finanza nel periodo luglio – dicembre 2020

Nella riunione del 1 Ottobre 2020 il Garante per la protezione dei dati personali, ha deliberato che:

1. limitatamente al periodo luglio-dicembre 2020, l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata:

a) ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:

trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);

trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;

trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR;

trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center;

trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;

trattamento di dati personali effettuati da società private in tema di banche reputazionali;

data breach.

b) a controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati;

2. l’attività ispettiva programmata con deliberazione in data odierna riguarderà, relativamente ai punti a), e b) di cui al punto 1), n. 30 accertamenti ispettivi di iniziativa effettuati anche a mezzo della Guardia di finanza.

Resta fermo che, valutata la sussistenza di eventi di particolare rilevanza, il Collegio può disporre ulteriori attività ispettive.

L’Ufficio può comunque svolgere ulteriori attività istruttorie di carattere ispettivo d’ufficio ovvero in relazione a segnalazioni o reclami proposti.

L’Ufficio informerà il Collegio sull’individuazione dei soggetti di cui ai punti a), e b) e riferirà, alla fine del semestre sull’andamento delle attività ispettive e delle attività istruttorie a carattere ispettivo, a qualunque titolo compiute, ai sensi di quanto previsto dall’art. 9, comma 4, lettera e) del Regolamento n. 1/2000 (come modificato dalla deliberazione n. 374 del 25 giugno 2015).

 

Leggi la notizia completa, qui

Settembre 2020: le email di phishing del mese

Ecco le email di phishing più curiose, tra quelle ricevute nel mese di settembre 2020; come sempre l’invito, una volta appurato che si tratti realmente di un tentativo di truffarvi o di compromettere il vostro PC, è quello di cancellare tali email senza aprire eventuali allegati.

1.La mail dall’OMS …che in realtà proviene da un dominio non legato all’OMS, primo indizio che svela l’inganno!

Oggetto: Organizzazione Mondiale della Sanit

Il testo recita:

Spett. Azienda

A causa del fatto che nella sua zona sono confermati casi di infezione da Coronavirus, l’Organizzazione Mondiale della Sanità ha messo a disposizione un documento che comprende tutte le prudenze necessarie contro l’infezione da Coronavirus. Le consigliamo quindi di leggere il documento incluso in questa mail.

NB: la mail ovviamente in allegato contiene  un file excel (documento_913.xls ) che non è il caso di aprire.

 

PS: Lista in continuo aggiornamento