Opinioni, desideri, foto e commenti sono la nuova ricchezza delle multinazionali del web. Secondo quanto rilevato dal quotidiano britannico The Independent (che riprende i dati di una ricerca effettuata dalla società Money Guru), sul dark web, i dati personali degli utenti, ottenuti dopo l’attacco hacker a Facebook dello scorso mese di settembre, vengono infatti ora offerti al miglior acquirente a prezzi compresi tra un minimo di 3 a un massimo di 12 dollari. L’attacco informatico ha messo a rischio più di 50 milioni di profili e i dati “trafugati” potrebbero essere utilizzati per commettere furti di identità o per ricattare gli utenti.
Il caso “Google Analytics” affrontato dall’Autorità Garante con il provvedimento del 09 giugno 2022 prende spunto dalla pronuncia C-311/18, del 16 luglio 2020 (c.d. Schrems II), con la quale la Corte di Giustizia dell’Unione Europea, nel dichiarare l’invalidità della decisione della Commissione UE n. 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield), ha constatato che il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act - di seguito “FISA 702”) comporti deroghe alla normativa in materia di protezione di dati che eccedono le restrizioni ritenute necessarie in una società democratica.
Scuole sotto assedio sulla privacy. Dalla ripresa delle lezioni sono bersagliate da richieste di accesso civico relative all'uso dei servizi digitali (posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico). I promotori dell'azione, che si definiscono hacker e usano la denominazione «MonitoraPA», dichiarano di avere inviato via Pec un'istanza di accesso civico generalizzato a 8254 scuole, per tutelare la privacy e proteggere le persone dagli attacchi dei colossi del web. L'iniziativa, anche per la sua massiva entità, ha aperto un dibattito nel mondo della scuola ed ha anche causato attriti tra gli addetti del settore.
“Siamo un gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese . . . “ così cominciava il 12 maggio scorso una pec indirizzata a numerosi soggetti pubblici da parte di un gruppo hacker con la quale si invitavano gli enti a rimuovere il noto cookie analitico di Google in favore di Web Analytics Italia minacciando una “ . . . segnalazione al Garante per la Protezione dei Dati e al Difensore Civico Digitale”.
Riunione con il Dpo, il responsabile della protezione dei dati, e sessioni di formazione sull'accesso civico generalizzato. Sono alcune delle urgenze da programmare il più sollecitamente possibile all'indomani dell'invio della risposta alla richiesta di accesso civico di MonitoraPA, che ha messo in subbuglio le scuole italiane. A questo punto non bisogna curarsi solo di come andrà a finire la vicenda (contenziosi al Tar, reclami al Garante della privacy, ecc.). Anzi, è prioritario prendere la palla al balzo in maniera costruttiva e vedere se c'è, come prevedibile, da dare una sistemata all'organizzazione del singolo istituto.
Al momento le indicazioni che arrivano dalle direzione regionali e la stessa normativa generale impongono a ciascuna scuola di fare complesse valutazioni giuridiche. Cerchiamo, quindi, di dare indicazioni utili a districare questa matassa, cominciando da quella di separare i diversi documenti richiesti, e cioè da un lato i contratti di acquisizione di beni e servizi digitali e atti istruttori a monte e dall'altro i documenti relativi ad adempimenti privacy (valutazioni di impatto, misure tecniche, valutazione sul trasferimento di dati extra Ue).
Procedure sempre più rapide e snelle per ottenere un finanziamento sul web, ma si diffondono sistemi di analisi dei profili social degli utenti basati su algoritmi di machine learning che concorrono a determinare la concessione del finanziamento, con perplessità sulla mancanza di consapevolezza degli utenti. Bernardi: "Notevoli vantaggi con i prestiti online, ma istituti di credito devono operare con trasparenza e rispettare regole del GDPR". La raccomandazione di Federprivacy: "Leggere bene le informative e tutta la documentazione disponibile, dando il proprio consenso solo se sì é certi di aver compreso tutte le condizioni."
Scatta il rischio sanzioni privacy per chi, sui propri siti Internet, continua a usare e anche per chi ha usato in passato Google Analytics 3 o servizi simili. Sono servizi per avere statistiche su chi visita le pagine web, ma sono illegittime se trasferiscono dati verso gli Usa, senza garanzie per gli interessati. Il Garante italiano, seguendo i precedenti conformi dei garanti austriaco e francese, ha, infatti, bocciato la versione 3 di Google Analytics (GA) con il provvedimento n. 224 del 9 giugno 2022, a latere del quale ha avvisato aziende e pubbliche amministrazione che, a partire dal novantesimo giorno successivo alla notifica del provvedimento citato all'operatore coinvolto, sarebbero state avviate ispezioni per accertare chi è in regola e chi no con il Gdpr.
Prime multe in Europa per l'uso di Google Analytics. Il Garante della privacy svedese ha sanzionato due società che si servivano del servizio di statistica fornito dal colosso di Mountain View per monitorare l'accesso ai loro siti internet (almeno nella versione in uso ad agosto 2020). La contestazione ha riguardato il trasferimento di dati, tramite Google Analytics, verso gli Usa, e cioè verso uno stato che non garantisce un adeguato livello della privacy.
