Google sotto inchiesta dei Garanti della privacy Ue: «Illecito trattamento dei dati personali»

Google finisce nel mirino del Garante della privacy di sei Paesi europei per il sospetto di aver violato le regole Ue nel trattamento dei dati personali dei navigatori della rete. A comunicare l'apertura di un'istruttoria è la stessa Authority italiana - attivatasi inseme ai colleghi di Francia, Germania, Regno Unito, Paesi Bassi e Spagna - spiegando che le contestazioni mosse alla società di Mountain View riguardano l'incrocio dei tracciati di alcuni servizi tra i quali Gmail, YouTube e Google Maps, incrocio che permetterebbe una profilazione dettagliata degli utenti. Le potenziali violazioni, che erano già state oggetto di un tavolo richiesto dai Garanti, ma rimasto senza esito, riguardano la Direttiva europea 95/46/CE, in particolare i paletti nel trattamento dei dati personali di pertinenza, necessità e non eccedenza, oltre all'informativa agli utenti delle finalità del trattamento dei dati personali e l'acquisizione del loro consenso. I Garanti europei al termine di una serie di accertamenti svolti lo scorso anno avevano chiesto a Google Inc. di adottare, entro 4 mesi, una serie di modifiche ritenute necessarie per assicurare la conformità dei trattamenti alle disposizioni vigenti. Decorso quel termine, alcuni rappresentanti di Google Inc. avevano chiesto un incontro con la task force, incontro che si era tenuto il 19 marzo scorso, a seguito del quale tuttavia «la società, nonostante avesse manifestato la propria disponibilità, non ha ancora adottato alcuna concreta iniziativa nel senso auspicato» scrive il Garante. «Il Garante italiano è da tempo impegnato sul fronte internazionale proprio per operare affinché la privacy dei cittadini europei venga rispettata - ha detto il presidente dell'Authority Antonello Soro - non solo dalle imprese dell'Ue, ma anche da parte dei big della rete e da tutte le società che operano nel settore delle comunicazioni elettroniche, ovunque esse siano stabilite. Vogliamo impedire che esistano zone franche in materia di diritti fondamentali». http://www.ilsole24ore.com/art/norme-e-tributi/2013-04-02/google-sotto-inchiesta-garanti-153312.shtml?uuid=AbYdjfjH

Read More

Privacy: il Garante chiede attenzione sull'archivio dei conti

Tutto ruota sulla sicurezza dei dati. Tanto nel duplice parere relativo alla creazione della super-anagrafe dei conti correnti, quanto in quello sul decreto che voleva ridisegnare l'Isee (progetto non andato in porto), il Garante della privacy ha sempre sottolineato l'esigenza della protezione delle informazioni acquisite. L'Autorità ha, pertanto, chiesto all'agenzia delle Entrate, deputata a gestire il mega database dei conti correnti, e all'Inps, a cui spetta il controllo dei dati necessari per l'Isee, di prestare particolare attenzione ai sistemi di sicurezza. Non solo quelli necessari per mettere sotto chiave le informazioni una volta arrivate agli archivi, ma anche le vie informatiche su cui quei dati devono viaggiare. Elemento, quest'ultimo, che si rivela particolarmente sensibile nel caso della super-anagrafe dei conti, da cui il Fisco dovrà elaborare, in via automatica, le liste di potenziali evasori. Con la pubblicazione del provvedimento del direttore delle Entrate l'anagrafe dei conti prende forma. I milioni di dati relativi ai conti correnti (ma non solo: verranno acquisiti, per esempio, anche i movimenti delle carte di credito, le notizie sulle gestioni patrimoniali, gli accessi annuali alle cassette di sicurezza) dovranno essere trasferiti dalle banche e dagli altri operatori finanziari all'agenzia delle Entrate. La strada sulla quale quella enorme massa di dati viaggerà dovrà, pertanto, essere senza intoppi. A prova di qualsiasi accesso indebito o di perdita di informazioni. Ecco perché uno dei maggiori rilievi che il Garante aveva rivolto al Fisco con il primo parere del 17 aprile dello scorso anno riguardava la debolezza di Entratel, sistema che le Entrate avevano individuato per la trasmissione dei dati. Entratel non era infatti in grado di supportare l'invio di file superiori a 3 megabyte, costringendo a suddividere i file di dimensioni superiori in tanti "pezzi" e, dunque, prestando il fianco a maggiori rischi di sicurezza dei dati trasmessi. Alla luce di quelle critiche, il Fisco ha fatto marcia indietro e, come il Garante ha potuto appurare con il secondo parere del 15 novembre scorso, ha cambiato sistema, abbandonando Entratel e ricorrendo a Sid (Sistema di interscambio dei dati) elaborato dalla Sogei. Un altro aspetto che fa parte del discorso sicurezza, ma che merita un'attenzione particolare, è il tempo di conservazione dei dati. Le informazioni, ricorda il Garante, devono essere custodite per un tempo determinato e poi cancellate automaticamente. C'è, infine, una questione che fa da sottofondo alle discussioni sulla creazione di nuovi archivi: il pericolo del gigantismo. La raccolta massiccia di dati concentrati in un unico punto aumenta in maniera esponenziale i pericoli di utilizzo illegittimo. Preoccupazione che l'Autorità della riservatezza ha espresso in maniera inequivocabile nel primo parere sulla super-anagrafe dei conti, allorché ha parlato di interesse «che il valore strategico di una simile banca dati può suscitare sia con riferimento ad accessi abusivi e a utilizzi impropri, che alla proliferazione di interconnessioni e raffronti». Ecco perché l'allora presidente del Garante, Francesco Pizzetti, ebbe a dire che seppure l'obiettivo di lotta all'evasione era condivisibile, quello di perseguirlo attraverso la realizzazione del grande database era da considerare come una misura emergianziale, da abbandonare non appena i risultati lo consentiranno. http://www.ilsole24ore.com/art/norme-e-tributi/2013-03-27/garante-anagrafe-deve-garantire-212710.shtml?uuid=AbQDKDiH

Read More

Violazioni della privacy su Youtube: lo scopo di lucro non indica il dolo per il provider di servizi internet

Nel reato di trattamento illecito di dati personali via web non c'è spazio per una responsabilità in concorso a titolo omissivo del prestatore di servizi, né l'eventuale finalità di profitto dello stesso Isp (internet service provider) può integrare il «dolo specifico» richiesto dal Dlgs 196/03. Con questi due passaggi, parte della lunga motivazione che assolve tre manager di Google, la Corte d'Appello di Milano ha fissato nuovi parametri nel delicato scenario del rapporto tra gli utenti/editori digitali e i titolari dei diritti lesi. Il caso è quello ormai notissimo del video caricato su Google Video (poi assorbito dal marchio Youtube) da un gruppo di minorenni nel 2006, con il quale veniva dileggiato e offeso un compagno di scuola affetto da una grave forma di autismo. In primo grado il tribunale di Milano – competente in virtù della sede italiana di Google – aveva assolto gli imputati dal reato di diffamazione, condannandoli però per il trattamento illecito dei dati personali sensibili della vittima «al fine di trarne profitto». Una condanna, questa, ottenuta modificando l'accusa iniziale (aver «omesso una preventiva sorveglianza sui contenuti immessi in rete dagli utenti» web) con quella di non aver predisposto «una corretta puntuale e doverosa informazione agli utenti delle norme poste a tutela della privacy» (articolo 13 Dlgs 196/03). La questione però, secondo la Corte milanese, è che la titolarità del trattamento dei dati personali non può essere scaricata – mancando nelle leggi vigenti una norma simile – sulle spalle dell'Isp, che non è neppure obbligato da nessuna norma a «rendere dotto l'utente circa l'esistenza e i contenuti della legge della privacy». Secondo i giudici «trattare un video non può significare trattare il singolo contenuto, conferendo ad esso finalità autonome e concorrenti con quelle perseguite da chi quel video realizzava» e quindi spetta al titolare del trattamento (che è l'utente uploader, e nessun altro) acquisire il consenso al trattamento dei dati personali – conclusioni tra l'altro condivise dalla Corte di giustizia Ue. Quanto al ruolo dell'Isp, non gli si può chiedere di «operare un giudizio semantico sulla valutazione dei fini di un video», giudizio che non è nemmeno relegabile a un procedimento informatico. Infine, sull'elemento soggettivo del reato, l'Appello censura la «confusione» in cui è caduto il tribunale di Milano tra il concetto di «dolo specifico» e quello di «finalità di profitto». Il secondo è infatti palesemente lecito e «non può essere assunto a prova della sussistenza» del primo. Dolo che ancor più andrebbe escluso dalla certezza della mancata conoscenza all'origine, da parte degli imputati, del contenuto del filmato e delle violazioni tramite quello perpetrate. http://www.ilsole24ore.com/art/norme-e-tributi/2013-04-02/scopo-lucro-indica-dolo-072329.shtml?uuid=AbMZAXjH

Read More