Privacy, nuove tecnologie e sicurezza informatica. Principi e suggerimenti pratici Antonio Mazzarella

Evoluzione normativa Le normative europee in materia di privacy sono tutte relativamente recenti. La Svezia è stata la prima nazione europea a promulgare una legge statale in materia di privacy nel 1973.

Il quadro legislativo è notevolmente cambiato con l’emanazione della direttiva n. 95/46/CE che ha consentito di uniformare, quanto meno a livello generale, la normativa degli stati membri dell’Unione Europea.

In Italia, prima dell’emanazione della direttiva n In Italia, prima dell’emanazione della direttiva n. 95/46/CE, si era giunti al riconoscimento del diritto alla riservatezza dopo un lungo dibattito dottrinale e giurisprudenziale. Fondamentale è risultata essere stata l’attività della giurisprudenza.

Le principali sentenze al riguardo sono state: la sentenza della Corte di Cassazione n. 990 del 1963; la sentenza della Corte Costituzionale n. 38 del 1973; la sentenza della Corte di Cassazione n. 2129 del 1975. Queste sentenza hanno parzialmente supplito all’atrofia del legislatore

La materia della privacy non è stata regolamentata sino all’emanazione della legge n.675/1996, emanata per ottemperare agli obblighi imposti dall’Accordo di Schengen del 1985 e dalla direttiva n.95/46/CE. Prima della legge 675/1996 la riservatezza è stata tutelata facendo sovente riferimento all’art. 2 della Cost..

La legge n. 675/1996 è stata in gran parte trasfusa nel D. Lgs n La legge n. 675/1996 è stata in gran parte trasfusa nel D. Lgs n.196/2003 ossia “Il Codice in materia di protezione di dati personali”.

Il codice della privacy Il Codice di protezione in materia di dati personali è entrato in vigore l’1 gennaio 2004. L’importanza di tale Codice va oltre la sua funzione di riunione organica.

Con l’emanazione del Codice, vi è stata una maggiore leggibilità della normativa in oggetto; quindi vantaggi sul piano sistemico. Dal punto di vista strutturale il Codice si divide in tre parti: disposizioni generali; disposizioni relative a settori specifici; tutela dell’interessato e sanzioni.

A completamento di tale impianto normativo ci sono una serie di allegati: allegato A, relativo ai codici di condotta; allegato B, recante il disciplinare tecnico in materia di misure minime di sicurezza; allegato C, relativo ai trattamenti occasionali effettuati in ambito giudiziario o per fini di polizia.

Il Codice è sorretto da alcuni importanti principi quali quelli di finalità, liceità, pertinenza e proporzionalità, tesi a garantire un livello di protezione della privacy il più elevato possibile. Importante anche il principio della massima semplificazione degli obblighi e degli oneri a carico dei titolari, nonché delle modalità di esercizio dei diritti da parte degli interessati.

Principali definizioni contenute nel codice privacy dato personale dato sensibile titolare responsabile incaricato interessato informativa

L’Autorità Garante per la protezione dei dati personali

Tutti i paesi europei, anche perché previsto dal Trattato sulla Costituzione europea, hanno istituito Autorità Garanti al riguardo. In Italia l’Autorità Garante per la protezione dei dati personali è costituita da quattro membri, eletti dal Parlamento; i componenti durano in carica sette anni e gli incarichi non sono rinnovabili.

L’Autorità Garante è una autorità amministrativa e non giudiziaria; benché autorità amministrativa i suoi provvedimenti sono impugnabili, per competenza esclusiva, dinanzi all’autorità giudiziaria ordinaria ex art.152 del Codice della privacy. L’interessato può rivolgersi al Garante mediante: reclamo, segnalazione, ricorso. Alternatività tra ricorso al Garante e l’autorità giudiziaria ordinaria.

- I compiti del Garante privacy (art.154 D. Lgs. 196/2003) controlla che i trattamenti siano effettuati nel rispetto della normativa vigente; esamina i reclami e le segnalazioni e provvede sui ricorsi presentati dagli interessati o dalle associazioni che li rappresentano;

prescrive anche d'ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti; vieta anche d’ufficio i trattamenti illeciti o non corretti ed eventualmente ne dispone il blocco; promuove la sottoscrizione dei codici di deontologia e buona condotta di determinati settori;

esprime pareri nei casi previsti; tiene il registro dei trattamenti formato sulla base delle notificazioni di cui all'articolo 37; predispone annualmente una relazione sull'attività svolta e sullo stato di attuazione del codice privacy , che è trasmessa al Parlamento e al Governo entro il 30 aprile dell'anno successivo a quello cui si riferisce;

può disporre ispezioni presso soggetti titolari pubblici e privati ogni qualvolta lo ritiene necessario.

Nuove tecnologie e diritti della persona. - body scanner

- screening del cervello

- computer, internet.

I social network e la privacy ( Facebook Myspace)

I social network si espandano facilmente grazie alla loro facilità d’uso, al loro funzionamento e alla loro gratuità. Il fenomeno non va demonizzato ma bisogna essere consapevoli delle conseguenze negative nel mettere on line senza criterio informazioni che ci riguardano.

Tali conseguenze possono avere una risonanza molto dilatata nello spazio globale e nel tempo indefinito, a volte con esiti imprevedibili per la vita delle persone.

Suggerimenti pratici: leggere bene le impostazioni privacy di Facebook; accettare e aggiungere come amici soltanto persone fidate la cui identità è confermata; diventare invisibili nelle ricerche; fare attenzione alle applicazioni di terze parti; fare attenzione ad entrare nei gruppi (trappola phishing e gruppi fake)

utilizzare pseudonimi che non contengano iniziali del nome e cognome; utilizzare password con caratteri alfanumerici; non utilizzare mai come password informazioni personali come ad esempio la data di nascita o il proprio nome.

Possibile soluzione giuridica della questione della privacy sui social network: obblighi giuridici per i fornitori; cancellazione radicale dei dati e non consentire la reperibilità degli stessi tramite i motori di ricerca; iniziative di sensibilizzazione, specie per i giovani, riguardo ai rischi che si corrono in caso di utilizzo troppo brioso del social network.

Il furto di identità

Il furto di identità consiste nell’ottenere indebitamente le informazioni personali di un soggetto al fine di sostituirsi ad esso in tutto o in parte, per compiere azioni illecite in suo nome o ottenere credito tramite false credenziali.

Entrato in possesso di tali informazioni, un terzo impersona la vittima ad esempio per acquistare articoli on-line o per richieste di prestiti.

Il furto di identità non è un fenomeno criminale residuale. Alcuni dati sul furto di identità: da una ricerca effettuata il 53% degli italiani ha subito il furto di qualche informazione riguardante la propria identità; quasi la stessa percentuale di furti di dati riguardanti l’identità personale vi è negli Stati Uniti, in Gran Bretagna, Irlanda e Belgio.

Il fenomeno del furto d’identità è alimentato soprattutto dall'inadeguata protezione dei propri dati personali. Una ricerca ha evidenziato che il 49% degli intervistati lascia le proprie password memorizzate sul computer, il 40% non usa le carte prepagate per gli acquisti on line, il 55% non distrugge i documenti con dati sensibili prima di buttarli.

Una tecnica in rapida diffusione di acquisizione di dati a scopo di furto di identità è il cosiddetto phishing. Il phishing utilizza la riproduzione abusiva di siti istituzionali, banche, aziende, società, per indurre a rivelare dati personali quali numero di conto corrente, numero di carta di credito, codici di identificazione ed altri.

Lo Spam

Lo SPAM consiste nell’invio o nella ricezione di messaggi pubblicitari di posta elettronica che non sono stati in alcun modo richiesti. Cercando su un vocabolario di inglese la parola 'spam', la si trova con il significato di "carne di maiale in scatola (da spiced ham)"

Il principale scopo dello spamming (l’azione di chi fa spam) è la pubblicità, il cui oggetto può andare dalle più comuni offerte commerciali, a proposte di vendita di materiale pornografico o illegale come software pirata e farmaci senza prescrizione medica. Lo Spam molto spesso è anche strumento di truffa.

Lo spam cartaceo

- Lo spam dal punto di vista giuridico Preliminarmente va detto che la comunicazione commerciale, di natura promozionale o imprenditoriale, è garantita costituzionalmente dalla libertà di impresa, essa infatti è direttamente connessa al principio di cui all’art. 41 della Costituzione italiana.

Il vigente codice della privacy non contiene alcuna definizione di comunicazione commerciale. L’art. 130 del codice della privacy stabilisce che le comunicazioni elettroniche effettuate mediante posta elettronica ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale sono consentite solo con il consenso dell’interessato.

Da questa disposizione deriva che: prima di inviare un messaggio pubblicitario l’operatore deve richiedere preventivamente il consenso per l’inoltro di comunicazioni commerciali, indicando a tal fine non solo i propri dati identificativi ma anche il proprio settore di attività. Il Garante della Privacy ha poi sottolineato che un indirizzo di posta elettronica per il solo fatto di essere reperibile in rete non autorizza comunque un suo uso indiscriminato.

I motori di ricerca e la privacy

Il motore di ricerca consente agli utenti di reperire qualsiasi informazione on line. Essi svolgono, pertanto, un ruolo di intermediazione tra rete ed utente di fondamentale utilità, in quanto permettono di soddisfare qualunque curiosità dalla Rete.

- Cuil Questo motore di ricerca punta sulla tutela della privacy come elemento aziendale distintivo.

- Google Chrome E’ il broswer più avanzato di Google che punta sulla rapidità della ricerca ma attua una costante profilazione dell’utente.

Le nuove tecnologie e il diritto all’oblio Il diritto all’oblio consiste nel diritto di un individuo ad essere dimenticato, o meglio, a non essere più ricordato per fatti che in passato hanno caratterizzato la propria vita.

Il presupposto del diritto all’oblio è la mancanza di attualità della notizia; perché possa parlarsi di oblio è necessario il decorso di un periodo significativo di tempo. Questo tempo non può definirsi una volta per tutte, dipende dalle circostanze di ogni singola vicenda.

- Il diritto all’oblio on line Con le nuove tecnologie il diritto all’oblio allo stato attuale rischia di scomparire. Una volta messa on line una notizia è quasi impossibile cancellarla e anche a distanza di decenni risulta esservi sempre traccia di essa.

Dati biometrici Nella sua accezione puramente scientifica il termine biometria sta ad indicare l’applicazione della matematica alla biologia e alla genetica.

Esempi classici di dati biometrici sono l’impronta digitale, la scannerizzazione dell’iride, le tecniche di controllo sull’emissione della voce, le tecniche fondate sul riconoscimento facciale.

I dati biometrici presentano tre caratteristiche che rendono il relativo trattamento particolarmente delicato: l’universalità, posto che l’elemento biometrico è presente in tutte le persone; l’unicità, atteso che la componente biometria è distintiva di ciascuna persona; la permanenza, considerato che l’individuo conserva il proprio elemento biometrico nel corso del tempo.

- La società attuale quale “società della sorveglianza”; Tecniche di controllo sociale - La società attuale quale “società della sorveglianza”; - Evoluzione storica delle tecniche di controllo sociale; - Sviluppo della sorveglianza sociale con la nascita delle democrazie moderne;

- Il caso Echelon; - La risposta europea Enfepol;

Internet Una definizione univoca di internet non esiste; possiamo comunque affermare che vi è concordia nel ritenere internet come un insieme di reti di computer sparse in tutto il mondo e connesse tra loro, a cui possono avere accesso migliaia di utenti per comunicare informazioni binarie di vario tipo”.

- Nozione sociologica di internet - Interattività e bi-direzionalita di internet

Internet e privacy Quando richiediamo una pagina ad un sito internet, alcune informazioni vengono automaticamente comunicate al sito; in particolare, al sito vengono trasmesse tre informazioni: l’ambiente operativo e il browser;

l’indirizzo internet Il referrer (Il referente).

- L’IP è un dato personale ? Orientamenti dottrinali

Art. 617 quater del codice penale “ Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe è punito con la reclusione da sei mesi a quattro anni. Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma”.

La posta elettronica L'equiparazione della posta elettronica alla posta cartacea tradizionale è oramai un fatto assodato e incontestabile. Ciò comporta l'estensione alla prima di tutte le garanzie poste a tutela della seconda e, quindi prima fra tutte quella prevista dall'art. 15 Cost.

Privacy e sicurezza informatica Strettamente collegato al tema della privacy è il tema della sicurezza informatica. Un computer deve garantire che i dati in esso contenuti non siano manomessi o cancellati.

Le principali misure per rendere sicuro un computer La sicurezza fisica

La protezione da pericoli reali o dalla possibilità di furti e danni esterni è un aspetto da non sottovalutare. A tal fine sarebbe opportuno posizionare i computer in aree che possano essere chiuse a chiave in nostra assenza.

Utilizzare un antivirus L’antivirus deve essere frequentemente aggiornato. Bisogna avere la consapevolezza che ogni file, la cui provenienza non è accertata, può potenzialmente trasmettere virus. Prima di aprire qualunque file di provenienza esterna sarebbe bene sottoporlo ad una scansione antivirus.

Archiviare le informazioni utili Archiviare informazioni utili tecnicamente significa fare un back up.

Utilizzare password adeguate La password è la modalità più comune per autenticare una identità.

Requisiti che deve avere una password: deve essere composta da almeno 8 caratteri; deve essere composta in modo eterogeneo da lettere, numeri e simboli; deve essere limitata nel tempo; non deve essere annotata su post it o comunicata a terze persone.

Navigare su internet in modo prudente Installare un firewall

Proteggere i file più importanti Cosi come le password proteggono l’accesso all’intero sistema anche a livello più basso, per i singoli file che contengono informazioni riservate, esistono sistemi di difesa che impediscono l’accesso indesiderato di terze persone.

Pronunce Garante privacy e casi pratici Badge

Oltre a telecamere, internet e posta elettronica esiste un altro strumento attraverso il quale è possibile effettuare un controllo sul lavoratore: si tratta del badge, cioè di quel tesserino che consente il riconoscimento dei lavoratori, facilita l’accesso in aree riservate e controlla l’orario di entrata e di uscita dal luogo di lavoro di un dipendente.

Per valutare la legittimità di utilizzo del badge dobbiamo effettuare una preliminare distinzione. Esistono infatti due tipi di badge: quello tradizionale; quello che impiega la tecnologia RFID. 

Il primo tipo di badge non pone alcun problema di legittimità. Il secondo tipo di badge, invece, attraverso l’inserimento di un microchip nel tesserino, consente al datore di lavoro di conoscere dettagliatamente i singoli spostamenti effettuati dal lavoratore nel perimetro del luogo di lavoro durante l’intera giornata. (ad esempio può sapere quanto tempo si è fermato in mensa, se ha partecipato o meno ad assemblee sindacali, quante pause caffé ha fatto…)

- La sentenza n. 15892/2007 della Cassazione Questa sentenza ha stabilito che la vigilanza sul lavoro, ancorché necessaria nell'organizzazione produttiva va mantenuta in una dimensione umana e cioè non esasperata dall'uso di tecnologie che violano la privacy del dipendente stesso.

Trasmissione “Le Iene” Privacy e minori Privacy ed istruzione

Domande