È legittima la conservazione dei nostri indirizzi IP?

I gestori di un sito Internet possono conservare i dati utenti che visitano le loro pagine web?

 

A far luce su tale quesito è stata la Corte di Giustizia UE con una sentenza emanata per dirimere un contrasto sorto tra un cittadino tedesco e alcuni siti. La questione è stata sollevata dal Sig. Patrick Breyer in opposizione alla Repubblica federale di Germania, in merito alla registrazione e alla conservazione dei suoi indirizzi di protocollo Internet (indirizzi IP) da parte di alcuni siti dei servizi federali tedeschi da lui consultati.

 

La legislazione tedesca, per contrastare i cyber attacchi e poter intraprendere eventuali azioni penali, permette la memorizzazione di dati come:

  • il nome del sito o del file consultato;
  • le parole inserite nei campi di ricerca;
  • la data e l’ora della consultazione;
  • il volume dei dati trasferiti;
  • il messaggio relativo all’esito della consultazione;
  • l’indirizzo IP del computer a partire dal quale è stato effettuato l’accesso.

 

Va specificato però che i protocolli internet non sono tutti uguali: esistono IP “statici”, che consentono di associare un dispositivo al collegamento della rete; e IP “dinamici”, che invece non consentono l’identificazione dell’utente. Per questa seconda categoria di navigatori on-line, solo il fornitore di accesso a internet dispone delle informazioni aggiuntive necessarie per l’identificazione dell’individuo.

 

La Corte di Giustizia Europea chiarisce la questione se sia legittimo o meno conservare gli indirizzi IP stabilendo nella sentenza che il trattamento di dati personali è lecito se è necessario per il perseguimento dell’interesse legittimo del responsabile del trattamento. Siccome i gestori dei siti federali tedeschi che forniscono servizi di media online «potrebbero avere un interesse legittimo a garantire la continuità del funzionamento dei loro siti» in vista della difesa da attacchi cyber, è da considerarsi legittima la registrazione e la conservazione degli indirizzi IP.

 

Grazie a questa sentenza si è chiarito che in Europa conservare gli indirizzi IP non sarebbe in contrasto con la Privacy dei cittadini nel momento in cui tali informazioni venissero utilizzate per perseguire il legittimo interesse del responsabile del trattamento.

 

Dott.ssa Simona Piovano
Digital Forensics Consultant

Quando il cybercrime minaccia l’economia mondiale

Il cybercrime costa all’economia mondiale 500 miliardi di euro l’anno; in Italia solo nel 2015 vi è stato un aumento del 30% di crimini informatici relativi alle imprese.

 

A fare il punto della situazione sull’incremento del numero e della pericolosità delle minacce informatiche e del loro impatto sul futuro dell’economia digitale è Antonello Soro, Presidente dell’Autorità garante per la protezione dei dati personali. Soro è intervenuto al convegno “Verso il regolamento europeo sulla privacy” organizzato dallo Studio legale Ughi e Nunziante il 12 ottobre scorso.

 

Il tema della privacy riguarda il diritto degli individui alla protezione dei propri dati personali. L’evoluzione tecnologica ha inciso ovviamente anche sulla privacy, poiché è necessario sia prevenire i rischi che garantire la protezione dei dati personali. I dati relativi alla rete internet e al numero di utenti ad essa connessi sono sufficientemente eloquenti e attestano come siano mutate in modo radicale nel corso degli anni sia le attività lavorative sia le abitudini di vita delle persone. Questo complesso scenario ha determinato la necessità di una evoluzione anche per la privacy.

 

Già a metà degli anni ’90, il contesto internazionale aveva registrato il cambiamento apportato alla privacy proponendo le PET (acronimo di Privacy Enhancing Technologies), ossia tutte quelle tecnologie in ambito ICT che sono utili ad accrescere la protezione dei dati personali. Il concetto delle PET è contenuto nell’art. 3 del Codice della privacy, rubricato “Principio di necessità nel trattamento dei dati”, che recita

I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità.

 

Le dichiarazioni di Antonello Soro al convegno “Verso il regolamento europeo sulla privacy”

Durante il convegno il Presidente Soro ha affermato che con l’entrata in vigore del nuovo regolamento le imprese dovranno “ripensare tutti i processi e le modalità di gestione dei dati personali, con la consapevolezza che il rispetto delle regole è diventato un fattore abilitante e non un onere burocratico”. Soro sottolinea inoltre come il principale cambiamento riguardi la maggiore e diretta responsabilizzazione delle imprese. È in questa prospettiva che le aziende saranno “tenute ad adottare un approccio sistematico e strategico per garantire l’effettiva sicurezza del loro patrimonio informativo e dei sistemi che conservano i dati”. Mai come oggi, aggiunge Soro, occorre “mettere in atto subito i giusti investimenti e le necessarie riorganizzazioni”.

 

Riguardo al trattamento dei dati sensibili l’avvocato Agostino Clemente, partner dello Studio Ughi e Nunziante, sottolinea come l’introduzione nel regolamento europeo dei principi di privacy by design e privacy by default comporta che il titolare del trattamento “dovrà incorporare i diritti nella tecnologia e mettere in atto misure che garantiscono il trattamento, di default, solo dei dati personali necessari per ogni specifica finalità”. Nello specifico, aggiunge Clemente, “ogni trattamento dovrà rispettare il principio di stretta necessità, di finalità, nonché garantire il pieno esercizio del diritto all’oblio”.

Clemente conclude con l’auspicio che “l’adozione di procedure corrette possa facilitare la circolazione delle informazioni con benefici convergenti per le aziende e gli interessati”.

 

 

Dott.ssa Simona Piovano
Digital Forensics Consultant

Registrare telefonate oggi è facile, ma non sempre è legale!

Registrare una telefonata per non perdere traccia di una conversazione importante, oggi è molto più semplice non essendo più necessario dotarsi di particolari apparecchiature. Numerose sono le App che permettono direttamente la registrazione dal proprio cellulare.

 

Il punto fondamentale da tener presente è però, che non sempre registrare telefonate è legale!

Per distinguere quando una registrazione è lecita o illecita occorre conoscere lo scopo e quindi l’uso per la quale viene fatta. Se lo scopo della registrazione è esclusivamente personale, il problema non sussiste poiché alla conversazione si è preso parte personalmente e quanto si è detto entra a far parte a pieno titolo del bagaglio di conoscenze degli interlocutori coinvolti, pertanto la comunicazione tra di loro non potrà considerarsi riservata ed ognuno di essi potrà disporne.

Se invece l’intenzione è quella di far ascoltare la telefonata a terzi la situazione cambia. In questo caso infatti, le norme a tutela della privacy impongono l’obbligo di acquisire il consenso dell’interlocutore avvisandolo che la conversazione telefonica che si andrà ad intrattenere verrà registrata. Nel caso di omissione di tale avviso l’utilizzo dell’applicazione per diffondere una conversazione verrebbe ad essere in contrasto con le norme in materia di tutela e protezione dei dati personali costituendo in tal modo un illecito.

A questo riguardo va fatta però una precisazione in quanto vi è un’eccezione. La legislazione (Cass. civ., 7783/14) in tema di privacy permette di prescindere dal consenso dell’interessato qualora il trattamento dei dati sia necessario per far valere o difendere un diritto in giudizio, purché la produzione sia pertinente alla tesi difensiva e non eccedente le sue finalità; ovvero che sia utilizzata esclusivamente nei limiti di quanto necessario al legittimo ed equilibrato esercizio della propria difesa.

Tra le varie App che offrono il servizio di registrazione delle telefonate scaricabili sia su iOS che Android troviamo CallRecorder, che si avvale di una registrazione vocale che segnala che la conversazione sarà registrata ed altre invece che demandano all’utilizzatore di informare l’interlocutore della registrazione che verrà effettuata.

 

 

Dott.ssa Simona Piovano
Digital Forensics Consultant

 

Foto dei figli su Facebook? In arrivo 45mila euro di multa

In Francia è stata presentata una proposta di legge che commina fino a 45 mila Euro di multa per chi pubblica immagini dei figli in un luogo privato senza il loro consenso.

 

C’è chi difende a tutti i costi la privacy familiare e chi proprio non ce la fa a resistere alla tentazione di condividere sulla propria bacheca gli scatti dei figli mentre muovono i primi passi, fanno il primo bagnetto o altri momenti importanti della loro vita. Ma pubblicare le foto dei bambini piccoli su Facebook oltre a essere un’attività molto pericolosa e sconsigliabile per i rischi connessi con un utilizzo improprio delle immagini dei minori, potrebbe diventare anche molto costoso!

 

La novità questa volta arriva dalla Francia, con la possibilità di riverberi nel resto dell’Europa, dove è stata presentata una proposta di legge che commina fino a 45mila Euro di multa per chi pubblica immagini dei figli in un luogo privato senza il consenso dei minori. Secondo la legge un domani i figli potrebbero anche denunciare i propri genitori per far valere il loro diritto alla privacy. In realtà va detto che non si tratta di una nuova legge, ma solo della corretta applicazione di quella già esistente sulla privacy.

 

Recentemente è toccato alla gendarmeria francese lanciare un drammatico appello, invitando tutti i genitori a non pubblicare foto dei figli su Facebook:

Ricordatevi che postare le foto dei bambini su Facebook non è sicuro, è molto importante proteggere la privacy dei bambini e delle loro immagini sui social network.

 

 

È chiaro come tale questione non interesserà solo i nostri cugini d’Oltralpe, visto che anche Facebook sta preparando una funzione che in automatico avvertirà i genitori, in procinto di pubblicare una foto dei figli:

…è una foto di tuo figlio! Sicuro di volerla condividere con tutti?

 

 

La pubblicazione sul Social delle foto dei propri bambini è stato, quest’anno, un fenomeno talmente rilevante e pericoloso da rendere necessario l’intervento delle polizia postale che ha invitato i genitori a non divulgare queste immagini sia per amore della privacy rispettando il diritto dei bambini di scegliere da maggiorenni, se e cosa condividere della propria vita privata e sia perché oltre la metà delle foto contenute nei siti pedopornografici provengono proprio dalle foto condivise! Molte foto finiscono, infatti, ad insaputa di chi le pubblica, in quello che viene chiamato Deep Web e Dark web ovvero la parte sommersa ed invisibile della Rete, il lato oscuro in cui si muovono i cybercriminali.

 

 

Nel corso di un sondaggio promosso dall’Università del Michigan è emerso che il 51% dei genitori forniva insieme alle foto informazioni personali dei figli che potevano condurre i cybercriminali ad identificare con facilità i luoghi in cui si trovavano. Forse la minaccia francese è esagerata, ma certo potrà indurre tanti genitori a pensarci due volte prima di postare immagini dei propri bimbi con troppa facilità. Il consiglio della polizia postale rimane sempre lo stesso: è meglio continuare a tenere le foto nei vecchi e cari album di famiglia evitando così che un gesto ingenuo si trasformi in un vero proprio incubo!

 

 

Dott.ssa Simona Piovano

Digital Forensics Consultant

Via libera al Regolamento Privacy EU!

Strasburgo, 14 aprile 2016: dopo un percorso di più di quattro anni l’UE ha ottenuto un risultato storico con l’approvazione definitiva del nuovo Regolamento Privacy.

 

Lo scopo è quello di uniformare la tutela della privacy in tutta l’Unione Europea sostituendo la direttiva CE risalente al lontano 1995, quando internet era ancora agli albori. Il nuovo Regolamento, che in Italia prenderà il posto dell’attuale Codice della Privacy (Dlgs 196/2003), è stato pensato per consentire ai cittadini un maggiore controllo sulle proprie informazioni personali in un mondo ormai digitalizzato da smartphone, social media, internet banking e trasferimenti globali. “Questo è un grande successo per il Parlamento UE e un fiero ‘sì’ ai diritti dei consumatori e alla libera concorrenza nell’era digitale”, si legge nel comunicato ufficiale della UE. Finalmente i cittadini potranno decidere quali dati personali vogliono condividere! La nuova normativa privacy fornirà chiarezza anche per le imprese attraverso la definizione di un’univoca legge in tutta l’UE creando fiducia e certezza del diritto.

 

Le norme emanate prevedono nuove disposizioni anche sul diritto all’oblio, sul consenso chiaro ed informato al trattamento dei dati personali, sul diritto di trasferire i dati ad un altro fornitore di servizi, e quello di essere informati quando i propri dati sono stati violati, ma anche sull’obbligo per le imprese di utilizzare un linguaggio chiaro e comprensibile nelle informative sulla privacy, con multe che potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo dei trasgressori.

 

Altro dato positivo è costituito sicuramente dalla previsione della figura di un responsabile della protezione dei dati, che avrà il compito di vigilare che la propria azienda rispetti effettivamente le regole, fungendo da punto di contatto sia con gli interessati che con l’Autorità Garante. Questo ruolo sarà cruciale anche perché, come avviene nel caso dei privacy officer nei paesi anglosassoni, egli potrà fornire consulenza al management al fine di utilizzare correttamente i dati personali per implementare le proprie attività di business senza però infrangere le regole. Il regolamento sarà pubblicato a breve nella Gazzetta ufficiale dell’Unione Europea, ed entrerà in vigore 20 giorni dopo. Le nuove disposizioni saranno direttamente applicabili in tutti gli Stati membri due anni dopo tale data.

Dott.ssa Simona Piovano
Digital Forensics Consultant

L’FBI vince la battaglia contro Apple: è la fine della privacy?

È ufficiale infatti: l’FBI è riuscita senza alcun aiuto di Apple nel suo intento, ovvero sbloccare l’iPhone di Syed Rizwan Farook.

 

Farook è l’attentatore che lo scorso dicembre fece fuoco in un centro di assistenza per disabili a San Bernardino, nello stato della California, uccidendo 14 persone e ferendone una ventina. Si pone così fine al braccio di ferro tra FBI ed Apple che aveva visto Cupertino opporsi alla richiesta di sblocco dell’iPhone dell’attentatore per salvaguardare la sua privacy, scatenando una polemica durata mesi non priva di colpi di scena! L’FBI segna questo punto grazie alla Cellebrite, azienda israeliana leader dell’informatica, che è riuscita a sbloccare l’iPhone 5C oggetto della diatriba.

 

Due le tesi contrapposte entrambe forti e valide.
Da una parte l’FBI per la quale l’essenziale è salvaguardare la sicurezza pubblica dei cittadini e dall’altra parte Apple per la quale, invece, la priorità è tutelare il diritto alla privacy dei cittadini.
L’azienda produttrice dello smartphone fin dall’inizio aveva contestato la richiesta dell’FBI rifiutandosi di creare una backdoor nell’iPhone asserendo che fosse sbagliato oltre che pericoloso sacrificare la privacy in nome della sicurezza pubblica esponendo così persone e Paesi a rischi ancor più grandi.
L’FBI, invece, ha sempre affermato l’importanza di sbloccare il telefonino dell’attentatore anche perché quello di San Bernardino è stato considerato il primo attacco ispirato dall’Isis sul suolo americano! Lo scopo dell’indagine governativa è quello di stabilire se i due killer abbiano agito assieme ad altre persone o con un appoggio esterno. Un impegno sia per le vittime dell’attacco di San Bernardino e sia per il popolo americano nel non lasciare nulla di intentato: questo è quanto si è ripromessa l’FBI.

 

Così finisce definitivamente il lungo contenzioso tra autorità Usa e Apple (e i giganti che si erano schierati a fianco di Cupertino, Google e Facebook) che si era rifiutata di sbloccare lo smartphone.
“Il governo è riuscito ad avere accesso ai dati conservati nell’iPhone di Farook e di conseguenza non richiede più l’assistenza di Apple” si legge in un documento depositato dal Dipartimento di Giustizia che conferma di fatto che l’FBI è riuscita a sbloccare il telefono senza l’aiuto dell’azienda produttrice ma grazie alla Cellebrite rendendo inutile di fatto un’udienza futura.
I prodotti della Cellebrite sono venduti anche in Italia dalla DATAMATIC SISTEMI E SERVIZI, azienda leader nella distribuzione di prodotti forensi nonché punto di riferimento per le forze dell’ordine per la sua capacità ad identificare soluzioni innovative e a supportarle nell’intero ciclo di vendita.

La battaglia tra Apple e l’FBI si conclude qui ma rimane aperto l’annoso conflitto tra Privacy e Sicurezza!

 

Dott.ssa Simona Piovano
Digital Forensics Consultant