DATA PROTECTION

Privacy e web conference: regole pratiche per una protezione effettiva dei dati personali

Con una lettera aperta indirizzata ai vendor di app per web conference, le Autorità per la protezione dei dati di Australia, Canada, Gibilterra, Svizzera, Regno Unito e Hong Kong hanno indicato le garanzie minime da adottarsi in materia di privacy. Eccole nel dettaglio

24 Lug 2020
C
Anna Capoluongo

Avvocato, Data Protection Officer


Anche in questa fase 3 dell’emergenza sanitaria dovuta alla pandemia di Covid-19 si continua a parlare di smart working e videoconferenze, con particolare riferimento agli ambiti relativi alla privacy e alla protezione dei dati personali degli utenti che usano le app di web conference.

Una problematica importante, tenendo conto che viviamo nell’era delle tre dimensioni (3D): quella reale (non intermediata dai device), quella digitale (dominata, invece, da social, app, mezzi e strumenti che abbattono spazio e tempo) e quella virtuale[1].

L’incontro di queste tre realtà avviene quotidianamente, anche se per la maggior parte del tempo non ne abbiamo la concreta percezione, con tutto ciò che ne consegue anche a livello di digital awareness, ossia di coscienza di quelli che possano essere i limiti e le conseguenze, anche legali, dei nostri comportamenti digitali.

I cinque punti focali in materia di privacy e web conference

Con l’avvento della Covid-19, la commistione delle prime “2D”, ossia reale e digitale, è stata fortemente sdoganata, anche grazie allo smart working e alla necessità di azzerare le distanze fisiche, vuoi per lavoro, per didattica o per esigenze di vita privata.

Il risultato è stato, da un lato, un boom nell’utilizzo di strumenti come Google Hangouts, Skype, FaceTime, House Party, WhatsApp e Zoom, capaci di conciliare questo nuovo bisogno con la semplicità di utilizzo del mezzo, e dall’altro la messa a rischio di una mole imponente di dati personali e informazioni (anche) aziendali.

Premesso che tali piattaforme hanno la piena potenzialità di profilare gli utenti e di entrare in possesso anche di dati audio-video, file e dati personali, così come di tutte le informazioni che l’utente fornisce o crea durante l’utilizzo del servizio (compresi la cronologia delle attività, i dati di geolocalizzazione e i dati dei propri contatti), le Autorità per la protezione dei dati di Australia, Canada, Gibilterra, Svizzera, Regno Unito e Hong Kong hanno ritenuto doveroso indirizzare una lettera aperta (aperta sì, ma con richiesta di risposta entro il 30.9.2020) ai vendor di software e applicazioni per la videoconferenza al fine di indicare le garanzie minime da adottarsi in materia.

I cinque punti focali sono, così, da individuarsi nella sicurezza, nella privacy by design e default, nel conoscere la propria audience, nella trasparenza ed equità e nella possibilità di controllo da parte dell’utente finale.

Più attenzione alla sicurezza dei dati

La principale preoccupazione esternata dai Garanti riguarda i profili di vulnerabilità e di (mancata) sicurezza mostrati dalle piattaforme che hanno comportato innumerevoli accessi non autorizzati ad account, dati, file, documenti, videochiamate e via dicendo.

WEBINAR
Sicurezza IT: focus su casi reali, “schemi di gioco” e organizzazioni criminali
Cybersecurity
Sicurezza dei dati

Ecco che, quindi, le Autorità hanno chiarito come sia necessario che i fornitori di tali servizi dotino le loro soluzioni di specifiche garanzie e misure di sicurezza logiche, quali la crittografia end-to-end di tutti i dati comunicati, l’autenticazione a due fattori e l’obbligatorietà per gli utenti dell’utilizzo di password solide, soprattutto laddove vi siano trattamenti di dati particolari, come nel caso specifico di consulenze mediche da remoto effettuate da ospedali o terapisti online e/o qualora sia consentita la condivisione di file e media.

Viene lasciata in capo ai fornitori la doverosa notifica all’utente della necessità di aggiornare la app/piattaforma all’ultima versione disponibile.

Con riferimento, poi, alla privacy by design e per impostazione predefinita, ciò che sembra rilevare maggiormente è la necessità di costruire tali strumenti pensando concretamente ai profili di sicurezza dei dati fin dalla progettazione.

Se, infatti, il software non nasce ab origine per garantire la sicurezza, ma il profilo di protezione del dato viene affrontato solo a progetto avviato, quasi per “mettere una pezza” e risultare (fittiziamente) GDPR-compliant, è evidente che l’esposizione al rischio sarà assai elevata e le vulnerabilità concrete così come la possibilità di azioni di rivalsa dell’utente sul vendor.

È necessario, dunque, partire dalla classificazione delle informazioni/dati trattati e dal loro flusso effettivo per poter scegliere ed adottare le migliori impostazioni a garanzia della privacy degli utenti.

Meriterebbe una riflessione – qui solo suggerita – anche l’ulteriore profilo – pur non trattato dai Garanti – della sicurezza dei dati utilizzati in smart working dalla propria abitazione e quindi al di fuori del perimetro di sicurezza impostato e gestito dall’azienda, tanto a livello di rete/connessione, quanto di device (personale vs aziendale) utilizzato.

Nell’opinione delle Authority non va, poi, sottovalutata neppure l’effettiva conoscenza del proprio “pubblico”, poiché è stato rilevato che nella maggior parte dei casi le citate piattaforme erano nate per soddisfare esigenze ed audiences del tutto differenti da quelle divenute effettivo oggetto del servizio.

Ecco che, quindi, ci si aspetta che i fornitori si facciano carico anche dello studio approfondito degli utenti finali (con particolare attenzione in caso di soggetti deboli o vulnerabili, quali i bambini, o di istituzioni legate all’istruzione, alla sanità o al governo) e dei possibili rischi di sicurezza (anche inizialmente non preventivati) legati all’utilizzo delle piattaforme.

I 6 Garanti, infine, a chiusura della lettera suggeriscono caldamente di focalizzare l’attenzione e gli sforzi su due ulteriori profili.

Assodato che, come risultato di diverse violazioni di alto profilo, la percezione della privacy e la consapevolezza in merito alla protezione dei propri dati personali da parte degli utenti è decisamente aumentata nel tempo, risulta imprescindibile per i vendor puntare sul maggior grado di chiarezza possibile nel rendere le informative agli interessati (principi di trasparenza ed equità), dovendo in caso contrario aspettarsi di dover fare i conti sia con profili di responsabilità che di brand reputation/danno d’immagine.

Privacy e web conference: il trasferimento dati in Paesi terzi

Le informazioni al pubblico dovranno, dunque, rispettare tutti i requisiti previsti dalle norme di settore, facendo particolare attenzione alla trasparenza in tema di tipologia di dati raccolti, soggetti destinatari, finalità del trattamento ed eventuale trasferimento in Paesi terzi, ora più che mai alla luce della sentenza della Corte di Giustizia UE “Schrems II”.

Si legge, infatti, nella lettera: “Dovreste essere sinceri su quali informazioni raccogliete, come le utilizzate, con chi le condividete (inclusi i responsabili di altri paesi) e perché – anche se non considerate la raccolta, l’utilizzo o la condivisione di tali informazioni particolarmente significative per voi stessi, è comunque importante che il loro utilizzo sia sempre comunicato onestamente al cliente. Questo è particolarmente vero quando che ciò che si fa con tali informazioni non sia ragionevolmente prevedibile (…). Queste informazioni dovrebbero essere fornite in modo proattivo, facilmente accessibili e non semplicemente sepolte in una informativa privacy. Laddove sia richiesto il consenso dell’utente in merito al trattamento dei dati personali, dovrete fare sì che tale consenso sia specifico e informato. Considerate come eventuali modifiche apportate alle versioni future della piattaforma influiranno su tutto ciò. Valutate il loro impatto e considerate se sia importante rendere gli utenti consapevoli di questi cambiamenti. Ciò consentirà loro di prendere decisioni informate su come utilizzare la vostra piattaforma in futuro”.

Last but not least, va necessariamente assicurato all’interessato un adeguato livello di controllo tanto sul servizio quanto sulle informazioni relative allo stesso, permettendo all’utente di avere chiare le funzionalità della piattaforma prima dell’avvio di una videoconferenza e di scegliere di non condividere determinati dati o quanto meno di prevedere l’opt-in per i dati più delicati.

Conclusioni

Sulla scorta del vecchio adagio per cui se un servizio è gratuito, probabilmente è perché il prezzo siamo noi stessi (nel caso di specie, i nostri dati), è bene che l’arma della consapevolezza venga brandita ed agitata in nome di una protezione più ampia, perché – come dicono i Garanti – “la facilità di rimanere in contatto non deve andare a scapito della protezione dei dati e del diritto alla privacy delle persone”.

NOTE

  1. Si veda “Vivere nella dimensione digitale. Dai diritti del cittadino alla responsabilità dei data processors”, M. d’Agostino Panebianco, ed. Themis, 2019.
WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 5