Violazioni digitali in rete

Ricerca Unipol-Ipsos: circa 10 milioni di italiani hanno subito violazioni digitali in rete

Quali violazioni

Dal furto di identità alla clonazione della carta di credito, dalla violazione della privacy al cyber bullismo: sono circa 10 milioni gli italiani che hanno subito violazioni digitali, personalmente o ai danni di un membro della propria famiglia.

Le violazioni coinvolgono soprattutto la cosiddetta “generazione Z” (32% dei casi a persone tra 16 e 26 anni) e gli episodi decrescono all’aumentare dell’età, piano piano fino ad arrivare al “solo” 11% dei Baby Boomers (57-64 anni).

I più esposti sono colore che utilizzano i social network con frequenza medio-elevata, seguiti da persone “esperte nel digitale” e “non esperti. Il furto di identità e la clonazione della carta di credito, sono percepiti più gravi nella navigazione web.

La ricerca compiuta da Changes-Unipol, magazine digitale del gruppo assicurativo Italiano, elaborata da Ipsos. L’indagine si basa su 1720 interviste, su un campione di popolazione di età dai 16 ai 74 anni. A livello territoriale le infrazioni si verificano in maniera uniforme in tutta Italia.

I rischi più gravi nel web

Tra le varie violazioni digitali, una particolare attenzione merita il Cyber bullismo, fenomeno sociale che si sta prepotentemente imponendo come tipica manifestazione della criminalità minorile. I dati confermano che 4 intervistati su 10 valutano il cyber bullismo come un grave rischio, avvertito soprattutto dalle donne ed in generale in tutte le varie fasce di età.

I vari metodi per proteggersi

Per quanto riguarda le contromisure adottate per proteggersi, gli italiani si basano soprattutto sul “fai da te”, fornendo solo i dati personali obbligatori ed indispensabili, mentre una parte degli intervistati ritiene sufficiente non divulgare proprie foto e di minori. Queste misure si accentuano soprattutto nella generazione di età più avanzata, che prende le distanze dai social, mentre la Generazione Z appare meno prudente in relazione soprattutto alla pubblicazione di immagini e foto, soprattutto le proprie.

In questo contesto fatto di rischi digitali più o meno percepiti, si distinguono l’e-commerce ed i pagamenti online: il 77% degli italiani li ritiene infatti sicuri, percentuale che cala in base all’età.

Novità in materia di marketing

La proposta di un codice di condotta di settore ed il nuovo Registro Pubblico delle Opposizioni (RPO)

L’ultima proposta di un codice di condotta per le attività di telemarketing e teleselling

Sin dall’entrata in vigore del nuovo Regolamento Europeo, il Garante della Privacy ha promosso tutta una serie di iniziative rivolte ad accelerare le diverse categorie di soggetti privati verso l’introduzione di un codice di condotta. Anche il GDPR infatti affida alle Autorità di controllo il compito di incoraggiare l’elaborazione dei codici, strumento essenziale per verificare gli obblighi dei Titolari del trattamento e dei Responsabili, tenendo conto dei rischi per i diritti e le libertà delle persone fisiche.

I codici di condotta sono strumenti di autodisciplina con cui le organizzazioni, titolari e responsabili del trattamento, si autoimpongono, su base volontaria, regole di dettaglio che devono determinare comportamenti più appropriati da seguire nell’ambito della protezione dei dati personali.

Infatti con tali codici è possibile chiarire molti aspetti determinanti del GDPR come la liceità su cui basare il trattamento, le modalità di raccolta del consenso, l’applicazione dei principi che regolano il trattamento e garantire la massima trasparenza verso gli interessati, le misure di sicurezza da adottare, oltre ad ogni altra informazione utile in base al contesto di riferimento.

Le sanzioni del Garante nel settore del telemarketing

Una particolare attenzione da parte dell’Autorità del Garante è stata rivolta da tempo al settore delle telecomunicazioni, considerando i rischi alti per i diritti e le libertà dei consumatori, spesso calpestati in nome del marketing, delle offerte commerciali e qualunque costo e con ogni mezzo possibile.

La percezione del consumatore è di essere sempre e continuamente sotto tiro, lesa la propria tranquillità individuale, ma ciò che viene violato ha uno scenario ben più ampio, come la perdita dei propri dati, esposti al rischio di utilizzo illecito.

Il GDPR introducendo nuove garanzie (come il diritto alla portabilità dei dati) e di conseguenza alzando l’asticella delle sanzioni applicabili, ha posto le basi per una tutela più ampia delle persone fisiche. Le ordinanze di ingiunzione comminate dal Garante dimostrano soprattutto quante criticità ci siano nell’applicazione dello stesso Regolamento.

Le violazioni nella maggior parte dei casi riguardano chiamate promozionali senza la preventiva acquisizione del consenso o senza aver prima verificato le utenze iscritte al Registro Pubblico delle Opposizioni, il telemarketing selvaggio ha infatti caratteristiche ricorrente e facilmente riconoscibili, la prima delle quali è rappresentata dalla circostanza che le telefonate vengono effettuate da numerazioni non censite nel Registro Pubblico degli Operatori. A tale Registro devono infatti iscriversi obbligatoriamente tutti gli operatori economici, esercenti l’attività di call center. Tali numerazioni sono spesso disconosciute dalla rete di vendita delle compagnie committenti e le chiamate che partono attraverso questi canali realizzano quello che il Garante, in numerosi provvedimenti, ha definito un “sottobosco” illecito, che realizza un rilevantissimo volume di affari attraverso attività in gran parte illegittime.

Il Registro Pubblico delle Opposizioni

Il Registro Pubblico delle Opposizioni è stato in origine istituito con il D.P.R. 178/2010 e la sua gestione è stata affidata, dal Ministero dello Sviluppo Economico (Dipartimento per le Comunicazioni), alla Fondazione Ugo Bordoni (FUB). Al Garante Privacy spettano i compiti di vigilanza e di controllo sull’organizzazione e sul funzionamento del Registro.

Nel corso degli anni l’RPO ha subito numerosi interventi normativi, dapprima volti ad estendere le previsioni relative all’opt-out nel marketing telefonico anche alla posta cartacea; in seguito, con la sopracitata L. 5/2018, volti ad estendere la possibilità di iscrizione anche ai numeri di cellulare e a tutti i numeri riservati, ovvero non presenti negli elenchi pubblici. Ulteriori recenti modifiche hanno sanato altre criticità emerse nel tempo, in modo da includere nell’ambito del RPO anche le chiamate automatizzate (“robocall”), ovvero quelle effettuate senza operatore umano. Infine, il D.P.R. 26/2022, ha apportato le necessarie revisioni alle disposizioni regolamentari vigenti che disciplinano le modalità di iscrizione e funzionamento del RPO. A partire dal 27 luglio scorso il nuovo RPO è finalmente divenuto operativo. 

Il Registro Pubblico delle Opposizioni: quali cambiamenti

Per quanto riguarda i contraenti telefonici, ovvero i cittadini intestatari di un contratto telefonico, questi potranno iscrivere nel nuovo Registro Pubblico delle Opposizioni (RPO):

–    tutte le numerazioni telefoniche nazionali fisse o mobili (pubblicate o meno negli elenchi telefonici). La possibilità di iscrivere al registro anche i numeri cellulari rappresenta una novità importante e tanto attesa; 

–    tutti gli indirizzi postali presenti negli elenchi telefonici pubblici.

L’iscrizione nel registro “preclude qualsiasi trattamento” (art. 7 comma 6 del D.P.R. 26/2022), ovvero comporterà:         

–    l’opposizione automatica al trattamento dei dati delle numerazioni telefoniche, nonché degli indirizzi postali, per fini di invio di materiale pubblicitario o di vendita diretta o per ricerche di mercato o per comunicazioni commerciali;

–    il blocco di qualsiasi trattamento delle numerazioni telefoniche fisse e mobili, riportate o meno negli elenchi, e degli indirizzi postali per le stesse finalità effettuate tramite telefono o posta cartacea, comportando la revoca di tutti i consensi precedentemente espressi. 

Rimane tuttavia una deroga (che creerà non pochi problemi nell’applicazione della norma): viene fatta salva la possibilità di contattare i contraenti che abbiano espresso un consenso nel contesto di contratti in essere o cessati da meno di 30 giorni. 

Per quanto riguarda gli operatori, ovvero i titolari del trattamento dei dati che intendano utilizzare, tramite telefono o posta cartacea, i numeri telefonici nazionali fissi e cellulari e i dati presenti negli elenchi telefonici per finalità di:

  1. Invio di materiale pubblicitario
  2. Vendita diretta
  3. Comunicazione commerciale
  4. Compimento di ricerche di mercato

dovranno invece seguire le seguenti regole, pena l’applicazione di sanzioni amministrative pecuniarie fino a 20 milioni di euro o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

–    registrarsi al RPO mediante la funzione “Presentazione istanza”, attraverso la compilazione del web form e l’invio della documentazione. L’accesso all’area riservata deve necessariamente avvenire tramite i mezzi indicati sulla piattaforma (SPID, CNS oppure certificato digitale, PEC – firma digitale);

–    scaricare il file di testo e consultare le liste di contatti contenenti le numerazioni da verificare. Le liste hanno validità di 15 giorni per la consultazione del RPO Telefonico e 30 giorni per la consultazione del RPO Postale;

–    accertare che l’interessato non si sia opposto al trattamento delle proprie numerazioni telefoniche, per fini di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale;

–    qualora l’interessato sia opposto, gli operatori sono anche tenuti a revocare tutti i consensi precedentemente espressi, con qualsiasi forma o mezzo, salvo i casi in cui si applichi la (criptica) deroga sopracitata. La revoca dei consensi ha efficacia sia sulle chiamate effettuate con operatore umano sia su quelle automatizzate.

Decreto trasparenza

Il recente Decreto Legislativo pone il datore di lavoro di fronte a nuove indicazioni da rilasciare al nuovo dipendente.

Decreto trasparenza

Il Decreto Legislativo 27 giugno 2022, n. 104 – attuazione Direttiva (UE) 2019/1152 – meglio conosciuto come Decreto Trasparenza prevede in linea generale che il datore di lavoro debba comunicare per iscritto al lavoratore gli “elementi essenziali del rapporto di lavoro” all’instaurazione del rapporto stesso e le “condizioni di lavoro e la relativa tutela”. Entrerà in vigore il 13 agosto 2022 e prevede ulteriori obblighi di trasparenza che impatteranno su tutta l’attività.

Il decreto si applica a tutto il mondo della subordinazione, al mondo delle APL e alla collaborazione e prevede un’applicazione immediata ai nuovi assunti a far data dal 13 agosto ’22 (art. 16) e per i contratti già in essere sin da subito, con l’obbligo del datore di lavoro di fornire informazioni entro 60 gg – su richiesta scritta del lavoratore stesso o delle rappresentanze sindacali.

Quindi nello specifico il decreto realizza un ampliamento del campo di applicazione soggettivo della disciplina in materia di obblighi informativi gravanti sul datore di lavoro, con estensione a:

  • lavoratori impiegati con tipologie contrattuali non standard (rapporti di collaborazioni continuative organizzate dal committente anche tramite piattaforme, contratto di prestazione occasionale, contratto di collaborazione coordinata e continuativa, etc.).
  • esclude però i rapporti di lavoro autonomo, purché non integranti rapporti di collaborazione coordinata e continuativa (art.1).

La norma stabilisce altresì che se in costanza di rapporto con l’azienda vi siano aggiornamenti per elementi non noti, quali leggi e contratti collettivi (si pensi ad esempio a nuovi orari interni o a sviluppo di nuovi software di monitoraggio della rete informatica), questi dovranno essere comunicati ai lavoratori  entro il primo giorno dal loro effetto.

Accountability Privacy e Protezione dati /GDPR

Importante per il mondo della data protection è l’articolo 1-bis del Decreto Legislativo n. 152/1997, che obbliga il datore di lavoro a:

“informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori.

Tali informazioni devono essere rese in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico “. 

Il decreto fa quindi riferimento a strumenti informatici e sistemi decisionali o di monitoraggio automatizzati utilizzati dal datore di lavoro sia in fase pre assuntiva che in fase di svolgimento attività lavorativa con un ampliamento del dettato normativo dell’art. 22 del GDPR (Processo decisionale automatizzato): quindi nel decreto non si parla solo di scelte automatizzate senza l’intervento di un operatore, ma di software che aiutino l’imprenditore a fare scelte attraverso l’utilizzo di metriche e logiche informatiche di valutazione performance.

Quali informazioni fornire al lavoratore?

L’informazione che deve essere fornita al lavoratore ricomprende una serie di parametri molto dettagliati quali:

  • gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi (es. bonus o promozione);
  • gli scopi e le finalità dei sistemi (es. organizzativi);
  • la logica ed il funzionamento dei sistemi;
  • le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
  • le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; 
  • il livello di accuratezza, robustezza e cyber sicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

A complicare un quadro già complicato il legislatore richiede che “Il lavoratore ha diritto a richiedere, direttamente o per il tramite delle rappresentanze sindacali aziendali o delle organizzazioni sindacali territoriali, ulteriori informazioni sull’impatto di tali sistemi automatizzati sul rapporto di lavoro. Il datore di lavoro o committente è tenuto a dare risposta entro 30 giorni dalla richiesta e deve comunque comunicare preventivamente (almeno 24 ore prima) ogni modifica delle informazioni già fornite, che comporti variazione delle condizioni di lavoro.

Lato GDPR: il decreto specifica anche che: “Il datore di lavoro o il committente sono tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti. Al fine di verificare che gli strumenti utilizzati per lo svolgimento della prestazione lavorativa siano conformi alle disposizioni previste dal Regolamento (UE) 2016/679 (GDPR), il datore di lavoro o il committente effettuano un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti, procedendo a consultazione preventiva del Garante per la protezione dei dati personali ove ne sussistano i presupposti (art. 36 GDPR).”

Quali documenti vanno redatti o aggiornati

Quindi occorre redigere o aggiornare:

  • Informativa ex art.13 GDPR nei confronti di dipendenti e collaboratori;
    • Lettera di incarico ex art. 29 GDPR con indicazioni circa la sicurezza del dato;
    • Registro di trattamento e analisi del rischio dei trattamenti inseriti a seguenti della nuova analisi;
    • DPIA dei trattamenti su strumenti informatici e sistemi decisionali o di monitoraggio automatizzati

In ogni caso, nei casi più articolati si suggerisce di predisporre un allegato | documento distinto dal contratto in modo che possa essere agevolmente utilizzato non solo per i nuovi assunti, ma anche per i lavoratori già in servizio che ne facessero richiesta, ma anche facilmente aggiornabile in caso di implementazione sistemi informatici e DB.

Sanzioni

In  assenza delle comunicazioni previste dal decreto, ovvero nel caso siano effettuate in ritardo o in modo incompleto, sono previste sanzioni differenziate per la tipologia di omissione.

La consapevolezza dei consumatori

I consumatori hanno confermato che la Privacy dei propri dati è diventata parte dei criteri che usano, per decidere i propri acquisti

I consumatori ed i propri dati

Da oltre 4 anni il GDPR ha cambiato la realtà di coloro che creano il contatto tra cliente e prodotto offerto, i cosiddetti “marketer”, hanno dovuto adattare il proprio ruolo e raggiungere i loro obiettivi, operando in un regime totalmente nuovo. Ma non solo il lavoro ed il ruolo dei marketer è cambiato, anche i consumatori hanno fatto il loro cambiamento nella percezione dell’importanza dei propri dati nel mercato e questo dovrebbe essere un “avviso” emesso e che i marketer dovrebbero percepire.

In base ad una ricerca eseguita su oltre 3000 consumatori, è stato scoperto che non solo i consumatori hanno una maggiore consapevolezza del modo in cui i dati sono usati ed hanno una maggiore comprensione dei loro diritti, ma anche che la privacy è diventata un dei criteri che usano per decidere dove comprare.

In breve, oggi i consumatori valutano la reputazione di un brand usando come parametro la privacy dei dati, nello stesso modo in cui utilizzano altri fattori più tradizionali come la qualità del prodotto o il servizio assistenza.

Ma qual è il perché di tale cambiamento?

Perché i consumatori sono più attenti alla privacy che non in precedenza? E’ stato chiesto agli intervistati se sentono di avere il controllo del modo in cui le loro informazioni personali sono usate delle società con cui interagiscono ed il 60% afferma di essere in disaccordo o indeciso.

Nonostante tutto però il GDPR non ha dato ai consumatori più fiducia nel modo in cui i loro dati sono trattati, solo il 60% ha prestato maggiore attenzione alle informazioni che condiviso con le aziende.

Ma quale prezzo stanno pagando le aziende

L’impatto più forte che tutto questo ha avuto sulle aziende, è la richiesta del consenso e qui i consumatori non possono essere più chiari di così: se l’azienda sbaglia a gestire il consenso, se ne andranno.

Quando è stato chiesto agli intervistati che cosa avrebbero fatto nel caso in cui fossero stati contattati attraverso un canale a cui non avevano prestato il consenso, il 57% ha affermato che avrebbe tagliato ogni rapporto con l’azienda.

Il problema, in questo caso, è che molte aziende permettono di dare (o rifiutare) il consenso all’utilizzo dei dati in diversi touchpoint (per esempio l’e-mail e la creazione dell’account), e questo fa sì che le preferenze al consenso vengano archiviate in diversi database e finiscano per dare un’immagine imprecisa delle preferenze del cliente al consenso. Questo può quindi portare le aziende a inviare comunicazioni che non sono coerenti con le preferenze più aggiornate del consumatore.

Il lato positivo per le aziende: la privacy come opportunità

Questa nuova attenzione dei consumatori alla privacy, può essere utilizzata a vantaggio delle aziende.

Per esempio, un rilevante 57% dei consumatori crede che le aziende con cui condividono i loro dati li vendano. Così le aziende dovrebbero imparare come prima cosa a esplicitare il fatto che non lo faranno: quasi due terzi (62%) degli intervistati ha detto infatti di essere più propenso acquistare da un’azienda che garantisce che non condividerà con terze parti le informazioni personali dei consumatori.

Nono solo mail 60% degli intervistati consiglierebbe ad amici e parenti, un’azienda che garantisca la privacy dei dati. Altro fatto a cui le aziende dovrebbero prestare attenzione è che i consumatori negli ultimi 12 mesi hanno letto più di 5 volte una policy privacy.

Il successo dipende quindi anche da una nuova prospettiva

La notizia della nuova concezione della privacy da parte dei consumatori, è un’opportunità per rinnovare e differenziare un’azienda. Siamo consapevoli che la privacy sia una risorsa di marketing e attraverso questa sarebbe opportuno andare incontro alle esigenze del consumatore. E cioè:

  • Imparare a raccogliere solo i dati necessari al proprio lavoro
  • Rivedere i modo con cui si raccolgono i dati ed il consenso
  • Dare la giusta importanza alla privacy dei dati

E soprattutto fare in modo che la privacy sia chiara e facile da trovare e capire, che sia altrettanto chiaro di come i dati raccolti saranno usati, in modo che il consumatore sia consapevole del rispetto che ci sarà nei loro confronti.

Identificazione della necessità di una DPIA (Valutazione di Impatto sulla protezione dei dati) nell’e-learning

Perchè valutare i rischi nel trattamento dati nella metodologia e-learning

E-learning: cosa si intende?

Nella tecnologia dell’informazione, per e-learning si intende il complesso di mezzi tecnologici messo a disposizione degli utenti, per l’accesso a contenuti didattici multimediali.

L’e-learning si differenzia da altri tipi di formazione a distanza, perché si basa su di una piattaforma tecnologica, cioè su un sistema informatico che gestisce la distribuzione e la fruizione dei contenuti formativi.

La relazione docente e discenti non è in tempo reale, non si tratta di un’aula virtuale, in quanto si basa sull’interazione utente-sistema informativo, è cioè asincrona.

Valutazione della metodologia e-learning

L’aspetto più criticabile dell’e-learning è la mancanza di empatia e contatto umano, che soltanto un corso in presenza riesce a fornire. Tuttavia per poter seguire un corso a più riprese, secondo le proprie disponibilità e tempi, trova molti riscontri positivi.  Poter utilizzare contenuti formativi standard, collaudati, che possono essere usufruiti da chiunque in qualsiasi momento, da dispositivi diversi accessibili anche da chi non dispone di postazioni di lavoro informatiche complete, sono un ottimo esempio di sfruttamento della tecnologia per la formazione del personale di Enti e Imprese, soprattutto per gli aspetti standard o di compliance.

Nella valutazione pro-contro si devono però considerare anche eventuali rischi, vediamo quali:

  • l’eventualità che gli utenti non siano in grado di utilizzare correttamente i dispositivi tecnologici, a causa di una scarsa familiarità con quest’ultimi;
  • la eventuale indisponibilità di una connessione Internet idonea, che può provocare scarsa qualità della fruizione delle lezioni, che possono interrompersi, o perdite di collegamento che possono essere critiche nei momenti di verifica, ad esempio.

Aspetti relativi ai dati personali

Utilizzare un metodo e-learning è comodo, funzionale ma non deve essere usato impropriamente. Esempio non si può contestare di non essere collegati al corso in un determinato momento, se il corso è da completare in totale autonomia secondo i propri tempi, non entro certo periodo di tempo.

Non può quindi essere usato per monitorare il personale, pur disponendo la piattaforma di sistemi di tracciamento dell’utente (collegamenti, accessi alle lezioni, esecuzioni ed esiti di test).

Di pari passo però il personale non può usare la formazione autonoma (che spesso viene svolta in orario lavorativo) per giustificare assenze dall’attività lavorativa, per propri fini personali, con tempi più lunghi di quelli previsti.

Necessità della Valutazione di Impatto  (DPIA)

Questa valutazione di impatto si rende necessaria sia per la scala del trattamento (nelle Piattaforme Smart e-learning vengono registrati considerevoli numeri di utenti, dipendenti, collaboratori o stagisti, tirocinanti di Enti e imprese), sia per il fatto che si configurano comunque monitoraggi di attività didattiche, che possono potenzialmente anche avere effetti negativi sulle persone.

In particolare possono essere indicati i seguenti criteri:

Monitoraggio sistematico su larga scala di luoghi accessibili pubblicamente
Trattamento di dati relativi a soggetti vulnerabili
Utilizzo innovativo o applicazione di nuove soluzioni tecnologiche od organizzative

Ovvero, ci troviamo nel caso in cui le attività di trattamento oggetto di esame rientrano nell’Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto pubblicate dall’Autorità Garante per la protezione dati personali con il Provvedimento N. 467 dell’11 ottobre 2018: 

“Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geo localizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal   WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8)”.