Sulla spinta dei 101 reclami presentati da NOYB – European Center for Digitale Rights (organizzazione non governativa fondata da Maximilian Schrems, www.noyb.eu), l’anno 2022 ha visto diversi Garanti europei pronunciarsi sul tema di Google Universal Analytics (GA3), qualificandolo non conforme al Regolamento europeo n. 679/2016 (GDPR).
La società statunitense ha immesso nel mercato Google Analytics 4 (GA4), che non è una semplice evoluzione di GA3, ma un prodotto completamente nuovo.
Gli addetti ai lavori sono ancora oggi divisi tra chi lo ritiene conforme al GDPR e chi no. Nel frattempo, solamente Datatilsynet, il Garante danese, ha preso posizione sul tema pubblicando delle FAQ (Frequently Asked Questions), reperibili all’indirizzo https://www.datatilsynet.dk/english/google-analytics.
Quali dati tratta e trasferisce Google?
Una delle principali soluzioni presentate da Google per garantire la conformità di GA4 al GDPR è la mancata registrazione dell’indirizzo IP dell’utente-interessato: secondo la società statunitense, non vi sarebbe più un trasferimento di dati personali in quanto l’utente non sarebbe più identificabile.
Le pronunce dei Garanti europei su GA3 avevano evidenziato come il troncamento dell’ultimo ottetto dell’indirizzo IP non fosse un trattamento di pseudonimizzazione adeguato. Infatti, Google ha il controllo di numerosi dati che, analizzati nel loro insieme, permettono di re-identificare l’utente. Questo è ancora più vero nel caso in cui l’utente navighi utilizzando il proprio profilo Google, ipotesi frequente nella realtà odierna: la società statunitense può incrociare i dati raccolti dal servizio di Analytics con l’identità del profilo dell’utente che sta navigando nel sito (o app) sottoposto ad analisi.
La soluzione prevista da GA4 di non procedere alla registrazione dell’indirizzo IP potrebbe sembrare efficace. L’indirizzo IP viene infatti elaborato solamente per poter localizzare l’utente al fine di indirizzare i flussi di dati verso il server più vicino, ma non viene conservato.
Tuttavia, tale soluzione non risulta sufficiente e adeguata.
Alla luce della recente approvazione del testo del Data Governance Act, avvenuta il 6 aprile 2022, se ne tracciano dapprima brevemente i punti nodali, per poi soffermarsi sul tema dell’Altruismo dei dati. Questo concetto e le sue estrinsecazioni rappresentano uno snodo fondamentale di questo regolamento. La domanda principale che bisogna porsi però è: le sue previsioni sul tema impatteranno davvero la realtà o resteranno lettera morta?
Il Data Governance Act
Il Data Governance Act[1] è un regolamento che va ad innestarsi in un ambizioso progetto europeo di armonizzazione e regolamentazione dei dati personali e del loro utilizzo. La società odierna poggia ormai le sue basi sul concetto di dati che, come definiti dall’art. 2 del DGA, includono “ogni rappresentazione digitale di atti, fatti o informazioni e ogni raccolta di tali atti, fatti o informazioni, incluse le registrazioni sonore, visive o audiovisive”[2]. Risulta consequenzialmente opportuno procedere ad una pianificazione quanto più condivisa ed organica sul tema, seguendo l’approccio che l’Unione ha sempre avuto riguardo tale materia: regolamentare non per inibire, ma bensì per incentivare un uso consapevole dei dati.
Dopo un discreto periodo di gestazione, il suo testo è stato approvato dal Parlamento Europeo il 6 aprile 2022[3] e si fonda su tre pilastri fondamentali. Il primo di essi è il riutilizzo dei dati nel settore pubblico, strumento chiave al fine di consentire una digitalizzazione efficiente e proficua degli apparati statali che, sempre di più, si affidano a sistemi basati su algoritmi e intelligenze artificiali, i quali richiedono, ai fini del loro fisiologico processo di learning, una grande mole di dati da processare.
Il secondo pilastro si basa, invece, sulla diffusione dei dati attraverso intermediari. La scelta di questo tipo di sistema di condivisione poggia il suo sostrato sulla possibilità di poter garantire maggiori standard sia qualitativi, in riferimento alla bontà dei database stessi, sia di sicurezza ed accountability nel processo di raccolta, gestione e concessione di questi ultimi, nonché di trasparenza per quanto concerne il diritto di accesso e i costi ad esso connessi.
L’ultimo pilastro, fulcro di questo articolo, si pone un obiettivo di grande levatura sociale e morale ed è menzionato sotto il concetto di “Altruismo dei dati”. Esso viene definito dall’art. 2 co. 16 del DGA come “la volontaria diffusione di dati, sulla base del consenso dell’interessato nel trattare i dati personali che lo riguardano o l’autorizzazione del Titolare all’utilizzo dei suoi dati non personali senza ricercare o ricevere un compenso che vada oltre alla compensazione dei costi in cui incorre al fine di rendere tali dati disponibili per obiettivi di interesse generale come previsto dal diritto nazionale, ove applicabile, come ad esempio: sanità, contrasto al cambiamento climatico, miglioramento della mobilità, facilitazione dello sviluppo, produzione e diffusione di statistiche ufficiali, miglioramento della fornitura di servizi pubblici, dell’elaborazione di politiche pubbliche o della ricerca scientifica nell’interesse generale”[4].
Whatsapp nelle ultime settimane è finita al centro di un’incredibile bagarre mediatica, a causa dell’aggiornamento delle proprie condizioni di utilizzo e della propria privacy policy.
Se ne è parlato e scritto molto, ma essenzialmente il problema denunciato dal Garante è la scarsa chiarezza della nuova privacy policy di Whatsapp.
Come denunciato dall’Avv. Andrea Lisi, presidente di ANORC, per l’utente è già particolarmente laborioso rinvenire, nel sito dell’applicazione, quali sono i termini di utilizzo e la privacy policy che si applicano nel suo caso, posto che ve ne sono diversi a seconda della regione del mondo in cui si risiede.
Il Garante ha infatti ritenuto che dalla lettura dei termini di servizio e dalla nuova informativa non sia possibile, per gli utenti, evincere con precisione e completezza quali siano le modifiche introdotte, né comprendere chiaramente quali trattamenti di dati saranno in concreto effettuati dal servizio di messaggistica.
E d’altronde se la privacy policy e le condizioni di utilizzo fossero state chiare, probabilmente non avremmo assistito alle diatribe di questi giorni.
Ad ogni modo, come ormai saprai, Whatsapp, a fronte delle critiche di associazioni, governi ed esperti, pare essere giunto a miti consigli, prendendo tempo per vagliare l’opportunità di redigere in modo più chiaro la propria informativa. Infatti, il termine per l’accettazione delle nuove condizioni d’uso e dell’informativa è stato postergato dall’8 febbraio al 15 maggio.
Ma quindi è sicuro per la mia privacy utilizzare Whatsapp o meglio cambiare applicazione?
Ad ogni buon conto, Whatsapp è tenuta a rispettare, almeno per gli utenti europei, il GDPR, che fa da scudo contro eventuali abusi da parte del colosso internazionale.
In ogni caso, Whatsapp ha recentemente puntualizzato tramite il proprio profilo Twitter ed un comunicato ufficiale che:
i messaggi scambiati tramite l’app continueranno ad essere protetti dalla crittografia end-to-end;
l’app non tiene traccia delle persone chiamate o con cui ci si è scambiati messaggi;
l’app non ha accesso alle posizioni che condividi;
i gruppi sono assolutamente privati;
è garantito la possibilità per l’utente di scaricare tutti i dati personali trattati dall’applicazione.
Whatsapp ha, altresì sottolineato, come l’aggiornamento dell’informativa non riguardi in alcun modo la privacy dei messaggi scambiati con amici e familiari, ma includa unicamente modifiche inerenti al servizio Whatsapp Business.
Cos’è Whatsapp Business?
In pratica, si tratta un’applicazione gratuita per Android e iPhone, pensata per semplificare l’interazione tra società e clienti.
Le società hanno, infatti, la possibilità di creare un profilo aziendale che aiuta i clienti ad ottenere informazioni aggiuntive, come l’indirizzo e-mail, il sito web, l’indirizzo dell’attività, etc. Inoltre, la versione business mette a disposizione una sezione dedicata alle statistiche sulla messaggistica e una funzione che fornisce delle metriche sul numero dei messaggi inviati, consegnati e letti. Questi dati possono essere utilizzati dalle società per comprendere se una determinata strategia di marketing sta funzionando oppure no.
Inoltre, le aziende possono decidere di collegare il profilo Whastapp a quelli di Facebook ed Instagram, e così implementare campagne apposite per raccogliere nuovi contatti da utilizzare per attività di remarketing.
E cosa cambia nelle condizioni di utilizzo e nella privacy policy per Whatsapp Business?
I principali aggiornamenti delle condizioni di utilizzo chiariscono le modalità con cui le società che utilizzano Whatsapp Business possono utilizzare i servizi disponibili su Facebook per gestire le chat. Nulla di nuovo, insomma.
Ma Whatsapp condivide o no i miei dati personali con Facebook?
Forse non lo sapevi, ma da quando Facebook, nel lontano 2014, ha acquistato Whatsapp, può avere accesso al numero di telefono con cui gli utenti si registrano all’app di messaggistica e alle informazioni sul dispositivo da cui viene utilizzata l’applicazione.
Tuttavia, come chiarito nell’ultimo comunicato emanato da Whastapp, Facebook, nonostante i rumors, continuerà a non poter utilizzare queste informazioni per l’invio di pubblicità o contenuti targhetizzati. Almeno in Europa, grazie al GDPR.
Nel resto del mondo e negli Stati Uniti, diventa invece obbligatorio per tutti gli utenti accettare che dati come il numero di cellulare o la rubrica di Whatsapp possano essere usati da Facebook per mostrare pubblicità personalizzate. In Europa, invece, Facebook potrà unicamente costruire profili statistici anonimi degli utenti di Whatsapp, usando i dati che ad oggi ha a disposizione.
Ad ogni buon conto Whatsapp, ha precisato che:
Né WhatsApp né Facebook possono leggere i tuoi messaggi privati o ascoltare le tue chiamate;
Né WhatsApp né Facebook possono vedere la posizione da te condivisa;
WhatsApp non condivide i tuoi contatti con Facebook.
Conclusioni
Al di là di tutte le dichiarazioni e i comunicati del colosso della messaggistica, qualsivoglia valutazione sulla sicurezza e la regolarità dei servizi offerti da Whatsapp, almeno per quanto concerne gli utenti dell’Unione Europea, è rimandata, in attesa della pronuncia dell’EDPB e delle eventuali modifiche alle policy dell’applicazione, promesse dalla Società per garantire una maggiore chiarezza in ordine ai trattamenti implicati.
L’abolizione del Privacy Shield è stato certamente un evento di cui si è parlato molto. Nella bagarre generata dalla decisione della Corte di Giustizia Europea sul Caso Schrems II, pochi però sono stati gli esperti che si sono esposti e hanno cercato di individuare delle soluzioni pratiche alle problematiche emerse a seguito di detta sentenza. Tra di essi, fortunatamente, anche l’Avv. Manuela Soccol, che in questo webinar enucleava alcuni dei consigli e delle buone pratiche individuati, poi, lo scorso 10 novembre, dall’EDPB nelle “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”.
I consigli dell’EDPB
Il Comitato Europeo per la Protezione dei Dati Personali ha finalmente sciolto le riserve, pubblicando una serie composita di raccomandazioni relative al trasferimento dei dati personali in territorio extra-UE, organizzandole in quattro diversi step.
1^ Step: mappare i flussi di dati.
Come prima cosa, è necessario mappare tutti i trasferimenti di dati posti in essere verso paesi terzi. Perché? Essere consapevoli della destinazione dei dati personali è essenziale per garantire che al trattamento siano applicati livelli di sicurezza equivalenti a quelli europei.
2^ Step: individuare lo strumento normativo su cui si basa il trasferimento
Il secondo passo da seguire è quello di identificare lo strumento normativo su cui si basa il trasferimento. Gli artt. 45, 46 e 49 del GDPR, sono chiari sul punto: decisioni di adeguatezza, clausole standard, binding corporate rules, o le eccezioni di cui all’art.49 (es. consenso dell’interessato, esecuzione di un contratto, etc.) possono essere le basi che legittimano tale trasferimento. Non preoccupatevi: il vostro legale o il vostro DPO dovrebbero aver individuato a monte, prima che il trattamento fosse posto in essere, lo strumento normativo in questione.
3^ Step: assessment sulla normativa del paese importatore
Questo step risulta necessario unicamente in assenza di decisioni di adeguatezza della Commissione Europea. In altri termini, il Titolare del Trattamento dovrà verificare la presenza dei presupposti di cui all’art. 46 del GDPR, ossia delle “garanzie adeguate” e, per gli interessati, di“diritti azionabili e mezzi di ricorso effettivi”. Al fine di verificare se sussistono tali circostanze, l’EDPB consiglia di far riferimento alle raccomandazioni dallo stesso fornite nelle“European Essential Guarantees recommendations”. Si badi che l’intero processo di valutazione deve essere documentato e condotto sulla base del principio di accountability.
4^ Step: eventuale applicazione di misure ulteriori
Si tratta del passo sicuramente più importante. Posto che sentenza Schrems II ha precisato che le Clausole Contrattuali Standard possono essere utilizzate solo in presenza di misure ulteriori, qualora il trasferimento di dati si basasse su tali clausole è essenziale verificare la sussistenza di misure tecniche aggiuntive… ma, quali? Ce lo dice l’EDPB, mediante l’elencazione di diversi accorgimenti, all’interno dell’Annex 2 delle Raccomandazioni.
In tal senso, a titolo esemplificativo, relativamente ai data storage e ai backup, il documento afferma che il trasferimento può ritenersi sicuro, se per esempio:
1. i dati personali vengono elaborati utilizzando una crittografia avanzata prima della trasmissione;
2. l’algoritmo di crittografia e la sua parametrizzazione (ad esempio, lunghezza della chiave, modalità operativa, se applicabile) sono conformi allo stato dell’arte e possono essere considerati robusti contro la crittoanalisi eseguita dalle autorità pubbliche nel paese destinatario;
3. le chiavi sono gestite in modo affidabile (generate, amministrate, archiviate, se pertinente, collegate all’identità di un destinatario previsto e revocate);
4. le chiavi sono conservate esclusivamente sotto il controllo dell’esportatore di dati o di altre entità incaricate di questo compito, che risiedono nel SEE o in un paese terzo con normativa adeguata.
Consigli dello Studio
I nostri consigli si possono riassumere in poche parole: accountabilty, DPIA e bilanciamento degli interessi. Al di là di quanto espresso dalle citate raccomandazioni, che peraltro non vanno esenti da critiche di vario genere, è essenziale che il Titolare del Trattamento analizzi l’opportunità di trasferire i dati personali all’estero effettuando una preventiva valutazione di impatto e bilanciando gli interessi in gioco, tra sicuramente anche le misure eventualmente adottate dal fornitore estero in ordine all’annoso problema dei cybercrime. Tale genere di valutazione è tutt’altro che agevole. Pertanto, è senza dubbio essenziale che il Titolare del Trattamento si rivolga ad un legale esperto nel settore, che possa condurlo alla decisione più sicura ed adatta al suo business.
Si fanno, infatti, attendere le Linee Guida promesse dal Comitato Europeo per la Protezione dei Dati (EDPB), e nessun Garante Privacy europeo sembra volersi esporre sul punto, tranne il LfDI Baden-Wuerttemberg, ovverosia l’Ente incaricato per la protezione dei dati e della libertà di informazione del land Baden-Wuerttermberg. Martedì scorso, questo ente ha infatti emesso delle Linee Guida sul trasferimento internazionale dei dati personali alla luce della sentenza sul caso Schrems II.
Le premesse delle Linee Guida
In premessa, l’Autorità sottolinea come sebbene la succitata sentenza non abbia invalidato le clausole contrattuali standard (SCC), risulta pur sempre necessario che il Titolare del Trattamento si assicuri che, nel concreto, il livello di protezione dei dati personali del paese extra-UE di trasferimento sia equipollente a quello garantito all’interno dell’Unione. Peraltro, l’Ente sottolinea che il rispetto di tale presupposto deve essere interpretato alla luce della Carta dei diritti fondamentali dell’UE e dell’articolo 46 del GDPR.
I suggerimenti delle Linee Guida
L’Autorità peraltro non si è limitata a delle affermazioni di principio, chiarendo in quali circostanze, nonostante l’abolizione del Privacy Shield, a fronte delle succitate SCC, il trasferimento dei dati personali extra-UE, può ritenersi valido. In particolare, la medesima precisa che a tal fine il c.d. “Importatore” deve garantire misure tecniche tali da impedire efficacemente l’acceso ai dati personale da parte delle autorità governative estere. L’Ente elenca le seguenti ipotesi:
Utilizzo di crittografia di cui solamente “l’Esportatore” conosca la chiave e che sia, al contempo, impossibile da violare per i servizi governativi;
Implementazione di anonimizzazione o pseudonimizzazione, il cui codice sia conosciuto unicamente dall’Esportatore;
Le Linee Guida contengono anche apposita check-list, che può essere utilizzata dalle società interessate per valutare le misure da adottare al fine di conformarsi alla sentenza Schrems II. In particolare, si consiglia di:
Effettuare un bilancio dei servizi utilizzati che prevedono il trasferimento dei dati personali in aree extra-UE;
Contattare i fornitori di servizi (Responsabili del Trattamento) per informarli delle conseguenze del caso Schrems II;
Verificare l’eventuale sussistenza di una decisione di adeguatezza per il paese terzo, ove vengono trasferiti i dati personali;
Analizzare l’ordinamento giuridico del succitato paese terzo;
Verificare se le SCC eventualmente approvate dalla Commissione europea possono essere utilizzate;
Verificare che le SCC siano effettivamente in uso e che sia garantita almeno una delle condizioni di cui ai punti 1, 2, 3.
Modifiche alle SCC
L’Autorità, poi, sottolinea come sia importante che i Titolari del Trattamento contattino i fornitori di servizi, che trasmettono i dati in paesi extra-UE, per concordare le seguenti modifiche contrattuali. In particolare, è essenziale prevedere:
l’obbligo da parte dell’Importatore di informare gli Interessati che i loro dati personali potranno essere trasferiti in un paese terzo, il quale non dispone di un livello di protezione adeguato alla luce del GDPR;
l’obbligo per l’Importatore di informare immediatamente l’Esportatore e gli Interessati qualora riceva richieste di accesso ai dati personali trattati – giuridicamente vincolanti – da parte di un’autorità governativa;
l’obbligo per l’Importatore di astenersi dalla comunicazione dei dati personali alle autorità governative, fino a quando il giudice competente non lo ordini;
una clausola di risarcimento danni, secondo cui le parti concordano che qualora una delle stesse sia ritenuta responsabile per qualsivoglia violazione delle SCC, causata dall’altra, quest’ultima si impegna a sostenere i costi, i danni, le spese, le perdite gravanti sulla prima, in proporzione al grado della propria responsabilità.
Consigli finali
Nonostante il tenore particolarmente austero delle Linee Guida, l’Autorità tedesca ha dichiarato di essere consapevole che non sempre è agevole per i Titolari del Trattamento rinvenire nel mercato soluzioni alternative, per il trattamento dei dati personali, che siano di valore pari a quelle già in uso. Conseguentemente pare adotterà un approccio quanto mai ragionevole nei giudizi sul punto.
Ad ogni buon conto, nel silenzio generale dei Garanti Europei, pare evidente che le società che trattano dati personali non possono in alcun modo astenersi dal consultare un professionista del settore, che può certamente guidarle nel modo più sicuro possibile attraverso questo ginepraio di indicazioni e soluzioni tecniche.
Per sciogliere eventuali dubbi e/o perplessità, non esitate a contattare lo Studio Legale Soccol.
Occorre premettere che non c’è motivo di allarmarsi, tuttavia per poter continuare ad utilizzare i servizi di fornitori extra UE si richiedono nuovi adempimenti da parte sia delle aziende che trattano dati personali sia dei DPO, alla luce della recente sentenza.
Il caso
Nello specifico, nel caso giudicato dalla Corte di giustizia, il sig. Schrems aveva sollevato dubbi circa la validità della decisione con cui la Commissione europea aveva stabilito che il rispetto, da parte di soggetti localizzati negli Stati Uniti, delle misure indicate nel c.d. Privacy Shield USA-UE, e quindi l’adesione allo stesso, costituiva una condizione sufficiente per garantire che i dati personali ricevessero una tutela sostanzialmente equivalente a quella prevista all’interno dell’Unione Europea, in forza del Regolamento sulla protezione dei dati (“GDPR”) e delle normative nazionali di attuazione.
La Corte di giustizia, nella sua sentenza, ha ritenuto invalida la suddetta decisione e ne ha determinato l’immediata cessazione dell’efficacia.
I motivi della sentenza.
Il motivo di questa decisione è rappresentato principalmente dal fatto che i dati dei cittadini europei non risultano sufficientemente tutelati negli Stati Uniti perché manca un’autorità indipendente a cui rivolgersi per eventuali reclami. Inoltre, i dati conservati negli Stati Uniti, a chiunque appartenenti, risultano accessibili alle autorità governative del Paese, senza possibilità per l’interessato di opporvisi.
Le Clausola Contrattuali Standard
Nella stessa sentenza, la Corte ha approfondito anche il tema della validità delle c.d. Clausole Contrattuali Standard (“SCC”), approvate dalla Commissione europea per mezzo di un’altra decisione, che pure era stata impugnata dal sig. Schrems. La Commissione europea ha infatti il potere di stabilire se determinati gruppi di clausole contrattuali offrono, o meno, sufficienti garanzie di tutela dei dati che vengono trasferiti al di fuori dell’Unione Europea. A tale riguardo, da una parte, la Corte ha confermato la validità delle clausole già approvate dalla Commissione e quindi le stesse, se inserite nel contratto tra “esportatore” ed “importatore” dei dati, sono teoricamente idonee a legittimare un trasferimento di dati all’estero (si intende: al di fuori dell’Unione Europea). D’altra parte, la Corte ha richiamato l’attenzione sul fatto che l’idoneità delle stesse SCC a legittimare il trasferimento dei dati non può essere riconosciuta in modo automatico, ma deve essere valutata caso per caso. In base alle caratteristiche dell’ “importatore” e allo Stato in cui si trova, potrebbe infatti essere necessario integrare le stesse con ulteriori clausole contrattuali, oppure prevedere l’adozione di ulteriori misure di sicurezza, affinché il livello di tutela dei dati sia davvero “sostanzialmente equivalente” a quello riconosciuto all’interno dell’Unione Europea.
Impatto sulle attività imprenditoriali
Passando al concreto impatto di questa decisione della Corte di giustizia sulle attività imprenditoriali, si deve notare, ad esempio, che l’utilizzo di servizi di Google comporta il trasferimento dei dati personali trattati anche negli Stati Uniti. Fino alla sentenza in oggetto, il trasferimento poteva avvenire legittimamente, a condizione che l’interessato (cioè la persona fisica a cui siano riferibili i dati personali) ne fosse informato. Google, infatti, dichiarava di aderire al Privacy Shield USA – UE e in quanto tale avrebbe dovuto offrire garanzie sufficienti per la protezione dei dati. Ora invece, per poter continuare ad usufruire dei servizi di Google, o di Microsoft, o di tanti altri fornitori di software (ma non solo) che trattano i dati negli Stati Uniti, sarànecessario trovare altre basi giuridiche che legittimino il trasferimento.
A tale proposito, il GDPR ne indica diverse:
• la sussistenza di decisioni di adeguatezza agli standard europei in materia di protezione dei dati personali (ad oggi, riguardano i seguenti Paesi: Andorra, Argentina, Canada, Isole Faroe, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Switzerland, Uruguay) (v. art. 45 GDPR). Le Autorità Garanti europee auspicano di pervenire ad una decisione di adeguatezza anche per gli Stati Uniti, ma la strada da percorrere sarà molto lunga;
• le Clausole Contrattuali Standard adottate dalla Commissione Europea (c.d. “SCC”) (per cui si veda sopra);
• le norme vincolanti d’impresa (c.d. Binding Corporate Rules), che però sono utilizzabili solo per i trasferimenti infragruppo, in grandi gruppi multinazionali, e che devono essere negoziate con le Autorità Garanti;
• le clausole contrattuali adottate dalle singole autorità di controllo, nella cui redazione però l’Autorità Garante italiana è in ritardo rispetto ad altre autorità europee;
• l’adesione, da parte dell’importatore extra UE, ad un codice di condotta o ad un meccanismo di certificazione, unitamente all’impegno dello stesso di applicare garanzie adeguate.
In mancanza di una decisione di adeguatezza o di una delle garanzie adeguate sopra elencate (v. art. 46 GDPR), il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale può essere comunque ammesso, ma deve essere:
– basato sul conferimento, da parte dell’interessato, dell’esplicito consenso al trasferimento proposto, e lo stesso deve essere stato informato dei possibili rischi che siffatti trasferimenti comportano, oppure
– motivato dalla necessità di dare esecuzione ad un contratto concluso tra l’interessato ed il titolare del trattamento, ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato, oppure
– un trasferimento temporaneo, che riguarda pochi interessati e che si fonda su un interesse legittimo cogente dell’esportatore (v. art. 49 GDPR).
Le soluzioni
Le soluzioni che al momento risultano perseguibili sono quindi quelle della verifica dell’adesione, da parte dei fornitori extra UE, a meccanismi di certificazione (es. ISO) e/o l’ottenimento del consenso dell’interessato. Le ulteriori deroghe previste dall’art. 49 GDPR riguardano invece trasferimenti per interesse pubblico, per la tutela di interessi vitali, riguardanti dati giudiziari oppure provenienti da registri pubblici.
In ogni caso, occorrerà attendere una presa di posizione da parte dei fornitori di servizi, che in realtà sono gli unici che possono garantire l’assoluto rispetto del livello di tutela dei dati previsto dal GDPR. Questo vale sia per le società estere che aderivano al Privacy Shield, sia per quelle localizzate in altri Paesi del mondo, alla luce dei richiami operati dalla Corte di giustizia in merito all’uso delle SCC.
Adempimenti necessari
Risulta pertanto necessario revisionare tutte le informative privacy, al fine di inserire maggiori informazioni circa i dati che possono essere trasferiti all’estero, il luogo in cui vengono trasferiti e le garanzie di tutela di cui godono. Le stesse dovranno essere poi portate a conoscenza degli interessati. Anche i Registri del Titolare o del Responsabile del trattamento dovranno essere di conseguenza aggiornati.
Lo Studio è sempre a vostra disposizione per garantire l’adeguamento della vostra attività rispetto a tutte le più recenti pronunce e normative.
Nella situazione emergenziale dovuta al Covid-19, si è parlato tanto di app di tracciamento. Lo abbiamo fatto anche noi qui. Le medesime hanno attirato molto l’attenzione per la rilevanza dei dati che devono raccogliere e trasmettere; di conseguenza, molto ci si è interrogati circa la loro conformità alle normative in materia di privacy. Lungi dall’essere una scoperta degli ultimi mesi, in realtà le app di tracciamento sono diffuse da una decina di anni in tutto il mondo. E non si può dire che non abbiano anche raccolto dati “sensibili” dei loro utenti. Ci riferiamo in particolare a quella categoria di app che sono definite “family tracker”.
Vediamo quindi come le società sviluppatrici di queste app hanno cercato di realizzare prodotti redditizi, ma allo stesso tempo conformi alle leggi applicabili.
Prendiamo ad esempio due delle app più conosciute nel settore, Life360 e Find My Kids.
Il family tracking
Life360, direttamente dalla California, si descrive come “localizzatore” per la famiglia, che permette di vedere su una mappa privata la posizione dei membri di un “gruppo”, di chattare con essi e di ricevere diversi tipi di notifiche in relazione agli spostamenti degli altri soggetti.
Find My Kids, invece, è stata sviluppata in Russia ed offre un sistema di monitoraggio per famiglie, per garantire la sicurezza dei bambini ed il controllo da parte dei genitori, tramite l’installazione di due diverse app, rispettivamente sul telefono del genitore e del figlio. L’app può interagire anche con orologi GPS.
Alcuni dei dati che queste app raccolgono sono, ad esempio, oltre ad i dati identificativi e al numero di cellulare, la localizzazione, registrazioni di suoni, foto, siti consultati e dati statistici sulle modalità d’uso degli smartphone.
Quali sono quindi i requisiti da rispettare quando si sviluppano app simili, e cosa bisogna controllare come utenti?
Innanzitutto, se l’app si rivolge ad un mercato di utenti che potenzialmente si estende al mondo intero, si complica il requisito della conformità alle molteplici normative nazionali applicabili. Mentre è tutto più semplice se si progetta di destinare l’app ad un uso solo all’interno dell’Unione Europea.
Localizzazione dei server e trasferimento dei dati
Un aspetto fondamentale, ma spesso trascurato nelle informative privacy delle app, come si verifica per Find My Kids, è quello dell’indicazione della localizzazione dei server della società fornitrice e della previsione, o meno, del trasferimento dei dati a soggetti stabiliti in Paesi terzi. L’utente dovrebbe infatti essere informato di queste circostanze, perché i Paesi in cui sono conservati i suoi dati potrebbero garantire un livello minore di protezione.
Diritti degli utenti interessati
Si mette inoltre in evidenza che le leggi degli Stati attribuiscono di per sé diritti ai singoli individui, che, in quanto fondamentali, non sono rinunciabili tramite contratti stipulati con altri soggetti. Nel settore delle app bisogna considerare l’esistenza di questi diritti, al fine di garantirne l’esercizio effettivo agli utenti. Si rischia altrimenti di ostacolare l’esercizio di diritti anche fondamentali e di causare danni inestimabili. Occorre quindi adottare misure di sicurezza e procedure tecniche che permettano, ad esempio, la correzione dei dati personali raccolti, la loro cancellazione, l’accesso agli stessi e la loro portabilità. Se si implementano tali misure, è necessario informare l’utente del modo in cui può servirsene. Questo è un elemento che, per esempio, manca, nella privacy policy di Find My Kids, dove è assente qualsiasi riferimento al diritto di accesso ai dati, al diritto alla loro portabilità o al diritto di rettifica.
App per minori
Se si sceglie poi di sviluppare un’app destinata appositamente ad essere utilizzata da soggetti minori, le cautele da richiamare si moltiplicano. Qualsiasi consenso, ad esempio, non è valido se fornito dal minore stesso ed il fornitore dell’app deve essere in grado di dimostrare di averlo legittimamente raccolto dai genitori. In realtà, il riferimento andrebbe più correttamente fatto non alla minore età, bensì all’età richiesta per esprimere il consenso al trattamento dei propri dati personali, che varia da Stato a Stato, anche a livello europeo (dove però non può mai essere inferiore ai 13 anni).
È in ogni caso consigliabile ridurre al minimo la raccolta di dati di minori, ad esempio consentendo la creazione di avatar, ed evitare l’utilizzo degli stessi a scopi marketing.
Le app Life360 e Find My Kids prevedono a tale scopo che i genitori possano esprimere il consenso al trattamento dei dati dei figli, tramite la compilazione di un modulo reperibile online e che deve essere poi inviato alla società.
Non bisogna tuttavia dimenticare che la protezione dei dati personali è solo uno degli aspetti da valutare quando si progettano app estremamente “invasive” per la vita degli individui. Si pensi solo, ad esempio, all’ipotesi che un’app per il family tracking sia utilizzata da un genitore violento o che abusi (anche emotivamente) dei figli. O ai pericoli che si correrebbero qualora lo smartphone con l’app suddetta finisse nelle mani di un soggetto malintenzionato.
I dati raccolti tramite queste app possono essere venduti a soggetti terzi?
Allo scopo di valorizzare le app come prodotti commerciali, a molti potrebbe venire la forte tentazione di rivendere a terzi i numerosissimi e preziosissimi dati che esse raccolgono. In questo caso, è necessario ottenere apposito consenso dagli utenti. Ad esempio, Life360 raccoglie i dati sull’esperienza di guida degli utenti e li cede ad una società di analisi dati, che elabora statistiche per conto di società assicuratrici o di altri soggetti interessati. Tuttavia, la medesima informa di questo trattamento l’utente, che può scegliere di negare il consenso a tale ulteriore utilizzo dei propri dati.
Profilazione e marketing
Parimenti, molte società potrebbero decidere di intraprendere una profilazione massiva degli utenti, per rivolgere loro una pubblicità personalizzata. Per usare i dati raccolti anche per finalità di marketing, tuttavia, è necessario ottenere il consenso degli utenti, che devono poter essere in grado di stabilire in base a quali dati possono essere profilati, quale tipo di pubblicità sono interessati a ricevere e in che modo preferiscono riceverla (ad esempio, con notifiche o tramite e-mail). Più si permette all’utente di personalizzare il suo uso dell’app, meno si rischia che lo stesso sia lesivo per i suoi interessi.
Come vedi, creare un’app può essere molto redditizio, ma bisogna fare attenzione alle norme di legge. Qualora decidessi di sviluppare un nuovo applicativo, possiamo fornirti supporto nell’individuazione delle misure di sicurezza da applicare, al fine del rispetto della normativa privacy.
Il commercio elettronico è in costante crescita sia in Italia che nel mondo. Nell’ultimo periodo, esso si è ulteriormente diffuso a causa dell’emergenza sanitaria, che ha comportato il blocco delle vendite al dettaglio delle merci ritenute non essenziali. Alla crescente importanza del settore non sempre si accompagna, però, la consapevolezza da parte degli operatori circa le normative vigenti e i rischi legali a cui possono andare incontro, in caso di violazione delle normative applicabili.
Dal punto di vista privacy, come tutti i siti web, anche quello
e-commerce soggiace alle regole dettate in materia di data protection,
sia per quanto riguarda le finalità di trattamento dei dati che il titolare è
tenuto a fornire agli utenti, sia relativamente alle misure di sicurezza
tecniche poste alla base del sistema informatico.
Nello specifico, le principali regole in tema di privacy da tenere
in considerazione ai fini della costruzione di un e-commerce conforme alla
legge sono individuate dal Reg. Ue 679/216 (GDPR) e dai provvedimenti
emessi dal Garante
Le regole basilari
In particolare, in base ai principi dettati dall’art. 25 del GDPR,
la creazione dell’e-commerce deve essere effettuata contestualmente alla
progettazione del trattamento dei dati (privacy by desing) e il Titolare
del Trattamento deve trattare i dati dell’interessato nella misura necessaria e
sufficiente per le finalità previste e per il periodo strettamente necessario (privacy
by default). Invero, il trattamento dei dati degli utenti deve avvenire
tenendo conto del principio di minimizzazione dei dati, di cui all’art.
5 GDPR, secondo il quale possono essere trattati solo quei dati necessari e
indispensabili in relazione alle finalità per le quali sono raccolti, nonché secondo le logiche di accountability,
consistenti nelle responsabilità di definire (a monte di un’attenta analisi dei
dati trattati e dei possibili rischi connessi) l’insieme di quelle misure
adeguate, che limitano il più possibile il verificarsi di eventuali rischi e
garantiscono il rispetto delle disposizioni GDPR.
Ma come deve essere nella pratica un e-commerce per essere GDPR
compliance?
Anzitutto l’e-commerce deve contenere una privacy policy (informativa),
redatta ai sensi dell’art. 13 GDPR, che fornisce tutte le informazioni
necessarie affinché i visitatori del sito possano decidere in modo consapevole
se prestare o meno il loro consenso al trattamento dei dati personali. In
particolare, nell’informativa devono essere inserite specifiche informazioni in
relazione ai trattamenti dei dati degli utenti per determinate richieste o
servizi (ad esempio alla gestione di un’area riservata per monitorare gli
ordini effettuati). Altresì dovrà essere prevista una cookies policy e inserito,
ad esempio, un banner con opt-in che contenga i vari cookies utilizzati, in
modo da permettere all’Utente di poter fornire un consenso espresso.
Newsletter e messaggi sponsorizzati
Proprio per il fatto che il consenso deve essere prestato
dall’utente in modo inequivocabile ed espresso, i moduli per le newsletters inseriti
nel sito non possono contenere il consenso di default. L’impresa deve pertanto
inserire una casella di spunta per il consenso al trattamento dei dati
personali, senza che la stessa possa essere precompilata. Inoltre, sia i
messaggi sponsorizzati che i moduli funzionanti con modalità opt- out (cioè i
moduli che appaiono quando il cursore del mouse si muove verso la parte
superiore della pagina per chiuderla) devono essere riadattati in modalità
opt-in opzionale.
Attenzione al database e misure di
sicurezza!
L’e-commerce deve poi essere dotato di un proprio database
separato che faciliti la richiesta di cancellazione dei dati personali, e di un
sistema di verifica dei dati degli utenti/visitatori, che renda possibile la
verifica immediata nel caso in cui vengano violati i dati personali. Infine, deve
essere garantita la sicurezza dei dati attraverso l’adozione di specifiche
misure di sicurezza come, a titolo esemplificativo non esaustivo: utilizzare
sistemi che permettono la riservatezza, l’integrità, la disponibilità dei dati
personali; dotarsi di metodi che permettono di ripristinare la disponibilità
dei dati personali e l’accesso ad essi in tempi appropriati in caso di incidenti
fisici o tecnici; adottare procedure volte a verificare, analizzare e valutare
regolarmente l’efficacia delle misure tecniche operative per assicurare la
sicurezza.
Si ricorda che il mancato adeguamento agli obblighi imposti dal GDPR
può comportare sanzioni molto pesanti per le imprese, in quanto sono previste
multe sino a 20 milioni di Euro o fino al 4% del fatturato.
Proprio per questa ragione, se state pensando di dotarvi di un
e-commerce, fatevi affiancare da un avvocato esperto in materia, per evitare di
incorrere in guai con il Garante per la protezione dei dati personali.
Le nuove tecnologie possano certamente aiutare nella lotta al diffondersi della pandemia da Covid-19. Non a caso, prima in oriente e poi in occidente, si è iniziato a parlare delle app di tracciamento, di cui abbiamo già discusso qui. In Italia, la bagarre sulla questione infuria ormai da mesi. Tutti abbiamo letto e sentito parlare della fantomatica Immuni: l’app che dovrebbe rivoluzionare la Fase due del nostro paese (anche se con un certo ritardo). Ormai è questione di giorni e tutti potremmo scaricare sui nostri cellulari l’applicazione. Più di qualcuno, infatti, avrà ricevuto sul proprio smartphone questo messaggio di Google, che pare voler dettare le regole del gioco mentre il governo italiano ancora latita.
Ma come dovrebbe funzionare Immuni?
Per chi ancora non sapesse con
certezza di che cosa si tratta, Immuni è un’applicazione per smartphone in
grado di registrare i contatti interpersonali, attraverso lo sfruttamento dei
Bluetooth.
Sul suo funzionamento tanti rumors,
ma poche certezze. In ogni caso, non appena disponibile, l’app potrà essere
scaricata, su base volontaria e gratuitamente, dal play store Android e
dall’Apple store. Immuni dovrebbe essere composta di due parti: una dedicata al
contact tracing vero e proprio (via Bluetooth) e l’altra destinata ad
ospitare una sorta di “diario clinico”, in cui l’utente potrà annotare i dati
relativi alle proprie condizioni di salute, come la presenza di sintomi
compatibili con il virus.
Il tracciamento avverrà in questo
modo: i cellulari dotati dell’app conserveranno nella loro memoria i dati di
altri cellulari con cui siano entrati in contatto (in forma di codici
crittografati). Qualora uno dei soggetti che ha scaricato l’app risulti
positivo al virus, gli operatori sanitari gli forniranno un codice di
autorizzazione, con il quale questi potrà scaricare su un server ministeriale
il proprio codice crittografato. I cellulari, automaticamente, scaricheranno
dal server i codici dei contagiati. Qualora l’app dovesse riconoscere, tra i
codici in memoria, il codice di un contagiato, invierà un segnale di allerta
all’utente, proprietario del cellulare.
Ma…perché se parla tanto? Innanzitutto,
perché vi sono tantissimi dubbi sul funzionamento di Immuni.
Notifica del possibile contagio. Per esempio, immaginiamoci che
Immuni avverta con una notifica l’utente che è stato, nelle scorse due
settimane, a contatto con un soggetto positivo al Covid; l’utente cosa deve
fare? Si chiude dentro casa? Se per ipotesi lavora e il suo datore di lavoro
non gli riconosce lo smart working, deve comunque notificargli che è entrato in
contatto con un Covid positivo? A chi telefona, alla Asl o al medico di
famiglia? Non si sa.
Numero di tamponi. Tutte le volte che un utente scopre di
essere positivo al virus, affinché l’applicazione sia utile al contenimento
dell’epidemia, è necessario sottoporre tutti i suoi contatti al tampone. Quanti
sono? In media 200. Calcolando, ottimisticamente, 2.000 nuovi casi al giorno,
moltiplicandoli, poi, per 200 contatti, ne risultano 400 mila tamponi al
giorno. Il nostro sistema sanitario è pronto? Ai posteri l’ardua sentenza, ma
per darvi un’idea, finora sono stati effettuati circa 1 milione di tamponi al
mese.
Bluetooth. La tecnologia dei Bluetooth è molto
più imprecisa dei GPS, che tuttavia non possono essere utilizzati per questioni
connesse alla privacy. Ne consegue che il rischio di falsi positivi è davvero
molto alto. L’app, pertanto, potrebbe riportare il Paese nella situazione di
panico iniziale, che si vuole in tutti i modi scongiurare.
Anziani. Quanti voi conosco ultrasessantenni
che normalmente utilizzano uno smartphone? È chiaro che la fascia di
popolazione più a rischio non utilizzerà mai Immuni, posto che spesso non
dispone di uno smartphone, o comunque è pratica nell’utilizzare tale genere di
dispositivo.
Sostenibilità. L’app è gratuita, ma per utilizzarla è
necessario possedere un cellulare di ultima generazione. Chi non può
permetterselo è pertanto escluso dalle cautele anti-Covid?!
Utilità. Tanto si è detto a proposito dell’effettiva
utilità di Immuni. Evitando qualsivoglia genere di polemica, si riporta un dato
oggettivo. L’app potrà effettivamente contribuire alla lotta contro il
Coronavirus, unicamente se sarà utilizzata almeno dal 60% della popolazione,
ovverosia da più di 30 milioni di italiani. Un’applicazione di così tanto
successo non si è mai vista. Basti, tra l’altro, pensare che solo il 70% degli
italiani dispone di uno smartphone.
Se decido di utilizzarla corro dei
rischi per quanto concerne la privacy?
Come tutte le nuove tecnologie che
trattano dati personali, anche Immuni non va esente da rischi di sorta; anzi,
trattando dati sanitari, il rischio per l’utente pare finanche maggiore. Vero è
che il Governo italiano pare (non v’è certezza, purtroppo) aver deciso di
strutturare l’applicazione con un sistema decentralizzato, che potrebbe nel
concreto assicurare un maggior grado di protezione contro eventuali data
breach. Tuttavia, non si può fare a meno di sottolineare come tale rischio persista,
posto che Immuni è comunque connessa ad un server centrale, che potrebbe essere
hackerato. Senza contare che i dati di tracciamento vengono salvati in locale
nei cellulari, i quali possono, forse anche più facilmente, finire nelle mani
di malintenzionati, che non si esclude siano capaci di “bucare” le misure
protettive di Immuni.
E se non la utilizzo?
Il Governo, a fronte delle
raccomandazioni del Garante Privacy e delle Linee Guida n. 4/2020 del Comitato Europeo per la
protezione dei dati, ha rassicurato i cittadini, sottolineando come l’uso
dell’app sarà strettamente volontario e non condizionerà in nessuno modo
l’accesso ai diritti garantiti dalle leggi vigenti. D’altronde sarebbe
evidentemente anticostituzionale imporre delle restrizioni a tutti coloro che
non scaricano o usano Immuni. In altri termini, sarebbe contrario al
principio fondamentale di uguaglianza (art. 3 Costituzione) e al dovere di
solidarietà (art.2 Costituzione) limitare l’accesso ai test diagnostici o
addirittura alle cure, attuando soluzioni del tipo “se non usi la App passi in
coda rispetto a quelli che la usano”, oppure imporre restrizioni alla mobilità
dei cittadini, costringendo a non uscire di casa coloro che non utilizzano
Immuni, ovvero limitare il loro diritto al lavoro.
Nessuna conseguenza negativa, insomma, se si decide di non utilizzare Immuni.
Fattore fiducia.
È evidente che il successo di questa impresa tecnologica dipende strettamente dal grado di fiducia che i cittadini rivestono nelle Istituzioni che hanno sviluppato il progetto di Immuni.
Quest’ultime paiono impegnarsi, ma non
abbastanza, a fronte una così sentita necessità. Un esempio? Lo scorso 11
maggio, il Ministro dell’Innovazione (Paola Pisano) rispondeva alle domande inoltratele
dall’associazione ANORC, in ordine all’app Immuni. Tuttavia, la Pisano
sorvolava sulla maggior parte dei nodi critici messi in evidenza dalle domande
di ANORC.
In assenza di trasparenza da parte delle istituzioni governative, è davvero difficile immaginare che Immuni possa davvero avere successo nel contesto italiano.
Le nuove tecnologie possono svolgere un ruolo importante nel contrasto del diffondersi della pandemia da Covid-19. Non si tratta di ipotesi, ma di realtà che sono già state implementate in altri Paesi, che – al pari del nostro – hanno affrontato e stanno affrontando la situazione emergenziale che ben conosciamo. Tra le prime ad attivarsi in questo senso vi è senza dubbio la Cina, che, in tempi record, verso la metà di marzo, ha implementato un sistema di data tracing, denominato “codice salute”, integrato, fra l’altro, all’interno delle app più usate dalla popolazione cinese, ovverosia Alipay e Wechat. L’esempio cinese non poteva non affascinare l’occidente. Ed in breve, anche in Francia, Germania ed Italia si è cominciato a parlare di app di data tracing
Ma che cos’è questa nuova tecnologia?
In estrema sintesi, si tratta di
un’app in grado di registrare tutti i nostri contatti interpersonali,
attraverso lo sfruttamento dei Bluetooth. Qualora uno dei soggetti con cui
siamo è entrati in contatto risulti positivo al Covid-19, l’app genera una
notifica, avvertendo noi, e tutti gli altri contatti a rischio, dell’accaduto.
Ci sono rischi per la privacy?
Come tutte le nuove tecnologie che
trattano dati personali, anche le app di tracciamento dei contatti non vanno
esenti da rischi di sorta; anzi, trattando dati sanitari, il rischio per
l’utente pare finanche maggiore. Per questo, il 21 aprile scorso, il Comitato
Europeo per la protezione dei dati (EPDB) ha emanato le linee guida n. 4/2020, al fine di scongiurare qualsivoglia
forma di abuso. Tali Linee Guida riprendono i principi cardine del GDPR che
abbiamo già imparato a conoscere: liceità, limitazione delle finalità e del
tempo di conservazione, minimizzazione, esattezza, integrità e riservatezza. In
particolare, il Comitato mette in luce come il monitoraggio su larga scala dei
contatti sia una grave intrusione della privacy, che può essere legittimata
solo a fronte dello svolgimento di un compito di interesse pubblico e della
volontarietà dell’utilizzo della tecnologia implementata. Per questo, in
ossequio al principio di minimizzazione, i dati trattati devono essere quelli
strettamente indispensabili per le finalità stabilite. Il Comitato precisa,
inoltre, che tali finalità dovrebbero essere, preferibilmente, regolamentate
per il tramite di apposito intervento legislativo, atto a fornire idonea base
giuridica per il monitoraggio. In ogni caso, il fatto che la base giuridica sia
costituita dalla legge non vuol dire che la tecnologia in questione possa
essere imposta ai cittadini. Il Comitato precisa, infatti, che l’uso della
medesima deve essere strettamente volontario, e non deve condizionare in
nessuno modo l’accesso ai diritti garantiti dalle leggi vigenti. Infine, viene
sottolineato come sia essenziale la redazione di apposita DPIA, cioè una
valutazione di impatto del trattamento, che analizzi nel dettaglio i possibili
rischi e le conseguenze connesse al medesimo.
Cosa sta accadendo in Europa?
Innanzitutto, va premesso, che in
Europa lo sviluppo e l’implementazione delle app di data tracing è stato
accompagnato, fin dal principio, da una farraginosa bagarre, per la
definizione delle misure tecniche più adeguate non solo per l’efficientamento
delle app, ma anche per la protezione dei dati personali. In particolare, i
tecnici si sono divisi tra sostenitori di un sistema di salvataggio dei dati
personali centralizzato e i sostenitori di un sistema invece decentralizzato.
Le differenze fra i due? Posto che le app di tracciamento
funzionano creando un elenco completo di utenti con cui si è interagito per più
di qualche minuto, il cui identificativo non è il nome e/o il cognome, ma un
codice criptato, la differenza essenziale risiede nelle modalità con cui tale
codice viene realizzato. Nel sistema decentralizzato, il medesimo viene
generato direttamente sui dispositivi mobili dell’utente, nel sistema
centralizzato, è invece un server, per l’appunto centrale, ad eseguire tale
operazione. Il sistema più sicuro? Difficile a dirsi, entrambi possono di
fatto prestare il fianco ad abusi e attacchi hacker.
Le nostre eterne rivali (Francia e
Germania) cosa stanno facendo?
Francia. L’app di tracciamento dei contatti
francese, denominata StopCOVID, è ai blocchi di partenza. Il Ministro
Cédric O, responsabile per il digitale, ha infatti reso noto come il lancio
dovrebbe avvenire il prossimo 2 giugno. Il dibattito tra sostenitori del
sistema centralizzato e sostenitori del decentralizzato – che, il 26 aprile
scorso, avevano addirittura presentato formale petizione contro il primo
sistema – ha visto prevalere i sostenitori del centralizzato. Tuttavia, non
sono del tutto sopite le critiche, posto che l’applicazione – al pari di Immuni
– sarà efficace unicamente qualora almeno la metà della popolazione (il 60%) la
scarichi e la installi, contribuendo così a rendere capillare il suo raggio
d’azione in tutto il territorio.
Germania. La Germania, come la Francia,
inizialmente, pareva aver abbracciato la soluzione centralizzata, promuovendo
lo sviluppo del c.d. Protocollo Robert (ROBust and privacy-presERving
proximity Tracing protocol) e l’implementazione della dell’app, denominata Datenspenden.
Tuttavia, il 25 aprile scorso, il governo federale ha dovuto cedere alla
pressione degli attivisti, preoccupati per la gestione dei dati personali, e
prediligere la soluzione della decentralizzazione, al fine di scongiurare il
timore di abusi da parte delle autorità. Va, tuttavia, sottolineato che, a
fronte della diffidenza della popolazione tedesca e della ancora scarsa
digitalizzazione del paese, l’app tedesca difficilmente verrà mai alla luce. In
attesa, i cittadini tedeschi possono comunque utilizzare la Datenspenden,
che, previo loro consenso, è in grado di raccogliere tutti i dati custoditi da
app di fitness, come Fitbit, Garmin e Polar, compresi gli smartwatch,
utilizzandoli, in forma anonima, per analizzare statisticamente la diffusione
del virus.
Cosa sta accadendo in Italia?
I rumors su Immuni sono molti ed i dubbi ancora di più. Di questo però vi parleremo nella prossima puntata. Nel frattempo, per qualsivoglia dubbio o perplessità, potete visitare il sito e farci pervenire le vostre domande.
