Archivi categoria: Privacy

Gestione della privacy e cookie policy in WordPress tramite Iubenda

Facebooktwittergoogle_plusredditlinkedin

L’entrata in vigore del Regolamento Europeo 2016/679 del 27 aprile 2016 (GDPR General Data Protection Regulation) impone ai siti, blog e applicazioni la revisione della Privacy Policy (ovvero l’informativa sul trattamento dei dati personali che era prevista dall’articolo 13 del Decreto Legislativo n. 196/2003) e della Cookie Policy (che era prevista dall’art. 122 del Decreto Legislativo n. 196/2003 che nella sua formulazione a fine maggio 2012 recepisce la direttiva comunitaria 2009/136/CE E-Privacy). Per maggiori dettagli si veda la FAQ del Garante per la protezione dei dati personali – Informativa e consenso per l’uso dei cookie che fornisce precise indicazioni sulla tipologia dei cookie e su come deve essere gestita l’informativa e la richiesta del consenso all’uso dei cookie.

Il GDPR impatta ovviamente anche su tali aspetti in quanto prevede che i dati possono essere trattati solo se sussiste almeno una base giuridica del trattamento, come ad esempio:

  • l’utente ha prestato il proprio consenso per una o più specifiche finalità;
  • il trattamento dei dati è necessario per l’esecuzione di un contratto al quale l’utente ha aderito, o per intraprendere azioni (su richiesta dell’utente) preliminari alla stipula del contratto;
  • il trattamento è necessario per l’adempimento ad un obbligo di legge al quale il titolare del trattamento è soggetto;
  • il trattamento è necessario per la tutela di interessi vitali dell’utente o di terzi;
  • il trattamento è necessario per l’esecuzione di un’attività di interesse pubblico, o che rientra nell’ambito dei poteri pubblici conferiti al titolare del trattamento;
  • il trattamento è necessario per interesse legittimo del titolare del trattamento o di terzi, a meno che non prevalgano gli interessi, i diritti e le libertà dell’utente, in particolare se l’utente è un minore.

In ogni caso al fine di effettuare un’attività di trattamento dei dati, occorre ottenere un consenso inequivocabile da parte degli utenti. Nel caso di utenti minori, occorre ottenere un consenso verificabile da parte di un genitore o tutore del minore, a meno che il servizio offerto non sia di prevenzione o consulenza. Occorre anche compiere sforzi ragionevoli (utilizzando ogni tecnologia disponibile) per verificare che la persona che presta il consenso detenga effettivamente la responsabilità genitoriale del minore.

Il GDPR fa espressamente riferimento ai cookies nel considerando 30 (a riguardo si veda Garante per la protezione dei dati personali – Regolamento UE 2016 679 con riferimenti ai considerando):

“Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.”

Per maggiori dettagli si vedano anche i seguenti articoli pubblicati sul sito di Iubenda nella sezione dedicata alla documentazione:

Fatte queste premesse per quanto riguarda un sito o un blog occorre gestire la Privacy Policy e la Cookie Policy e implementare la raccolta del consenso all’utilizzo dei cookie tenendo presente quando indicato nella
FAQ del Garante per la protezione dei dati personali – Informativa e consenso per l’uso dei cookie. In WordPress vi sono vari approcci con cui è possibile gestire tali requisiti, di seguito illustrerò come è possibile gestire la Privacy Policy, la Cookie Policy e la raccolta del consenso all’utilizzo dei cookie tramite i servizi cluod e il plugin messo a disposizione da Iubenda, un’azienda italiana nata nel 2012 con lo scopo di offrire servizi per la compliance alla privacy policy in linea con le normative vigenti. Per quanto riguarda la Privacy Policy e la Cookie Policy, Iubenda offre i servizi di compliance per un siti/app con tre differenti offerte: la Basic gratuita, la Pro a pagamento e la Tailored a pagamento con possibilità di personalizzazione del servizio.

Occorre però tenere conto che l’offerta Basic ha alcune limitazioni a riguardo si veda La privacy policy di iubenda è gratuita?, Inoltre nell’offerta Basic non sono previste le seguenti funzionalità:

  • Privacy policy per app mobile
  • Cookie policy
  • Policy in più lingue
  • Aggiunta testo personalizzato
  • Rimozione logo Iubenda
  • Opzioni avanzate di incorporazione e integrazione

Per i prezzi e l’elenco completo delle funzionalità nelle varie edizioni si veda il link Prezzi Compliance per siti web e app.

Di seguito invece i passi per gestire in un sito WordPress la Privacy Policy, la Cookie Policy e la raccolta del consenso ai Cookies necessari al sito tramite i servizi Compliance per siti web e app di Iubenda nella versione Pro dal moneto che la versione Basic non prevede la Cookie policy.

Passo 1: Configurare nella dashboard di Iubenda la Privacy Policy e la Cookie Policy

Una volta creato il proprio account per la soluzione Pro per un sito/app occorre accedere alla dashboard per creare e gestire la Privacy e Cookie policy configurando:

Per quanto riguarda la Cookie Policy è possibile configurare i cookie che saranno utilizzati per la gestione della stessa, si noti anche che Iubenda genera una Cookie Policy il più possibile comprensibile agli utenti evitanti di inserire dettagli tecnici , a riguardo si vedano le considerazioni riportate nel seguente Fonti giuridiche sulla necessità di dover citare i nomi dei cookie di terza parte e sui requisiti di opt-out.

Passo 2: Integrazione delle Privac Policy e delle Cookie Policy nel sito

Una volta generate le policies è possibile integrarle nel sito in tre diverse modalità e per ciascuna viene fornito il codice necessario da copiare:

Tutti e tre gli approcci prevedono quindi, in modo diverso, di poter fare riferimento alle policies richiedendole direttamente al servizio cloud di Iubenda garante quindi un aggiornamento dinamico sulla base delle impostazioni che vengono configurate sulla dashboard di volta in volta in base alla modifica dei servizi utilizzati dal sito e soprattutto in base alle modifiche che Iubenda esegue sulle policies per adeguarle ad eventuali modifiche che tali servizi potrebbero subire o a eventuali modifiche normative.

Passo 3: Installazione e configurazione del plugin in WordPress per la gestione della raccolta del consenso all’utilizzo dei cookie

Un plugin che si integra molto bene con Iubenda è Cookie Notice for GDPR sviluppato da dFactory che permette di gestire anche i cookie non funzionali, come ad esempio quelli di Google Analytics, mediante l’inserimento degli scripts che gestiscono l’uso di tali cookies nella sezione Script Blocking. Il plugin permette anche di gestire il rifiuto dei cookie in questo caso occorre gestire l’esecuzione condizionale dello script con un codice di questo tipo:

if ( function_exists(‘cn_cookies_accepted’) && cn_cookies_accepted() ) {

// Your third-party non functional code here

}

Per quanto riguarda eventuali servizi che si intende integrare nel sito e che fanno uso di cookies è bene comunque, se possibile, adottare configurazioni che riducano le informazioni raccolte e la loro condivisione se non necessarie. Ad esempio per quanto riguarda Google Analytics è consigliabile anonimizzare l’IP raccolto da Google ed impedire a Google di incrociare i dati raccolti attraverso Analytics con quelli di altri suoi prodotti, a riguardo si veda Anonimizzare Google Analytics ed evitare l’incrocio dati.

Per rendere anonimo l’ip di provenienza dei visitatori occorre modificare la seguente riga dello script base:

gtag(‘config’, ‘GA_TRACKING_ID‘);

aggiungendo l’opzione per anonimizzare l’IP come segue:

gtag(‘config’, ‘GA_TRACKING_ID‘, {‘anonymize_ip’: true});

A riguardo si veda anche IP Anonymization in Google Analytics.

Passo 4: Verifica della compliance del sito alla normativa vigente in materia di gestione dei cookies

Terminata la fase di configurazione è possibile testare se effettivamente i cookie non funzionali vengono utilizzati solo previa autorizzazione del visitatore tramite una serie di servizi online come i seguenti:

  • cookiechecker che esegue un controllo generale sui cookie utilizzati
  • CookieMetrix che consente di verificare la compliance del sito con la Cookie Law
  • Cookiebot che consente di verificare la compliance del sito al GDPR e alla Direttiva ePrivacy (ePR)

L’estensione ha uno spyware. Chrome e Firefox bloccano Stylish

Facebooktwittergoogle_plusredditlinkedin

Il proprietario di Stylish ha cambiato le policy lo scorso gennaio e nelle nuove versioni registrava l’attività Web degli utenti. Non è la prima volta che succede e, purtroppo, è probabile che non sia nemmeno l’ultima. I casi in cui i nuovi proprietari di estensioni e add-on per browser abusano della loro posizione, infatti, si […]

L’articolo L’estensione ha uno spyware. Chrome e Firefox bloccano Stylish proviene da Securityinfo.it.

Privacy – Obbligo di tenuta del registro delle attività di trattamento

Facebooktwittergoogle_plusredditlinkedin

All’art. 30, il Regolamento Europeo 2016/679 del 27 aprile 2016 prescrive l’obbligo per il titolare del trattamento, nonché per il responsabile del trattamento qualora nominato, di tenere un registro delle attività di trattamento.

Occorre premettere che tale obbligo è previsto per i seguenti casi:

  • l’impresa o l’organizzazione ha più di 250 dipendenti;
  • il trattamento effettuato dall’impresa o dall’organizzazione può presentare un rischio per i diritti e le libertà dell’interessato;
  • il trattamento effettuato dall’impresa o dall’organizzazione non è occasionale;
  • il trattamento effettuato dall’impresa o dall’organizzazione include dati di cui all’art. 9, paragrafo 1 (categorie particolari di dati personali ed in particolare i dati che rilevano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, dati biometrici intesi a identificare in modo univoco una persona, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale di una persona);
  • il trattamento effettuato dall’impresa o dall’organizzazione di dati personali relativi a condanne penali o a reati di cui all’art. 10.

Invero, il Garante della privacy italiano, nell’evidenziare l’importanza e la funzione di tale documento, ha precisato che “la tenuta del registro dei trattamenti non costituisce un adempimento formale, bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro
e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”.

Ciò premesso, occorre innanzitutto chiarire che cosa si intende per “attività – operazione di trattamento“, definizione che occorre distinguere da quella di “trattamento“.

Con mero intento esemplificativo e non certo esaustivo, l’art. 4 del Regolamento definisce infatti trattamento “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicabile a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Quindi definiremo “trattamento” l’attività, di qualsiasi genere, svolta su dati personali, mentre indicheremo “attività – operazione di trattamento” la tipologia di intervento che viene svolta sui dati personali e non necessariamente il singolo intervento.

Chiarita quindi la differenza tra “trattamento” ed “attività di trattamento”, ad avviso della scrivente, per la compilazione del registro di cui all’art. 30 è possibile partire dall’analisi di fonti diverse e cioè:

  1. dalle finalità del trattamento;
  2. dalle attività di trattamento;
  3. dai dati elementari presenti negli archivi, individuando successivamente quelle che sono le attività e finalità per le quali tali dati sono trattati.

In ogni caso, il registro dovrà indicare tutte le informazioni richieste nell’art. 30: a tal proposito si segnala che l’Autorità italiana, uniformandosi a scelte già intraprese dal Garante francese e belga, sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito istituzionale, modello che potrà, in ogni caso, qualora ritenuto necessario, essere integrato con ulteriori informazioni dai titolari e/o dai responsabili.

In particolare, il titolare del trattamento e, ove applicabile, il suo rappresentante dovranno dare le seguenti informazioni:

  1. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del tratamento e del responsabile della protezione dei dati (DPO – Data Protection Officer);
  2. le finalità del trattamento;
  3. una descrizione delle categorie degli interessati e delle categorie di dati personali;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. ove possibile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o l’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49, la documentazione di adeguate garanzie;
  6. ove possibile, i termini ultimi previsti per la cancella zione delle diverse categorie di dati;
  7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, paragrafo 1.

Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante dovranno tenere un “registro di tutte le categorie di attività relative al trattamento svolte per conto del titolare del trattamento” contenente:

  1. il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile per la protezione dei dati;
  2. le categorie dei trattamenti effettuate per conto del titolare del trattamento;
  3. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o l’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49, la documentazione di adeguate garanzie;
  4. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, paragrafo 1;

Tali registri sono tenuti in forma scritta, anche in formato elettronico.

Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento e del responsabile del trattamento, mettono tali registri a disposizione dell’autorità di controllo.

*****

Semplificando possiamo osservare che esistono le seguenti differenze contenutistiche tra il registro tenuto dal titolare del trattamento e il registro tenuto dal responsabile del trattamento:

 

REGISTRO DEL TITOLARE

REGISTRO DEL RESPONSABILE

a) Il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati

a) Il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati

b) le finalità del trattamento
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento
c) una descrizione delle categorie degli interessati e delle categorie di dati personali

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49, la documentazione delle garanzie adeguate

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49, la documentazione delle garanzie adeguate

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, paragrafo 1.

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, paragrafo 1.

Dalla tabella che precede possiamo quindi osservare che i punti sub b), c), d) ed f) elencati nel registro del Titolare del trattamento non sono previsti nel registro del Responsabile del trattamento ed il punto sub b) presente nel registro del Responsabile del trattamento non è invece specificato nel registro del Titolare del trattamento.

 

Si tratta in realtà di differenze che devono considerarsi solo apparenti e quindi superabili all’atto pratico della redazione del Registro.

Infatti, sebbene i punti sub b), c) e d) vengano previsti dall’art. 30 del Regolamento esclusivamente per il registro del titolare del trattamento, in verità, pare ragionevole interpretare che, di fatto, dovranno riferirsi anche alla compilazione del registro del responsabile del trattamento, in quanto sostanzialmente risultano accorpati nell’art. 30, comma 2 al punto b) “categorie dei trattamenti effettati per conto di ogni titolare del trattamento” che dovrà fare necessariamente riferimento anche alla finalità del trattamento, alle categorie di interessati, alle categorie di dati personali e alle categorie di destinatari a cui i dati personali sono stati o saranno comunicati, categorie che potranno essere individuate direttamente nell’atto di nomina del responsabile del trattamento.

Ulteriore differenza sussiste per il punto f) indicato dall’art. 30 comma 1 solo per il registro del titolare del trattamento (“ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati”): tale discrepanza è, in verità, dovuta al fatto che l’atto di nomina del responsabile del trattamento dovrà indicare proprio le modalità ed i termini per la cancellazione dei dati.

In entrambi i casi, invece, sia il titolare sia il responsabile del trattamento dovranno indicare “ove possibile, una descrizione generale delle misure di sicurezza, tecniche ed organizzative di cui all’art. 32 paragrafo 1″, in quanto nell’atto di nomina del responsabile sancirà l’obbligo per quest’ultimo di “adottare tutte le misure richieste ai sensi dell’art. 32“, ma consentirà a quest’ultimo di operare con un certo margine di discrezionalità e quindi tali misure potranno essere anche differenti.

Concludendo, pare ancora opportuno precisare che la ratio sottesa alla previsione del registro delle attività di trattamento sia quella di far censire ai soggetti attivi (titolare e responsale del trattamento) le banche dati e i trattamenti in essere, nonché quella di conservare in maniera ordinata, verificabile anche da terzi (Autorità di controllo) l’adozione delle misure adeguate ed efficaci e quindi il rispetto del principio di responsabilizzazione sancito dal Regolamento.

Il Parlamento europeo vuole una nuova normativa sui cookie

Facebooktwittergoogle_plusredditlinkedin

Il Parlamento europeo vuole una nuova normativa sui cookie

I cookie sono una “presenza invisibile” con la quale gli internauti convivono ormai da diversi anni. Che le aziende li abbiano impiegati, anche impropriamente, per “studiare” le abitudini dei visitatori e potenziali clienti è noto a tutti.

La normativa entrata in vigore lo scorso 3 Giugno 2015 (direttiva 2009/136/CE) ha ricordato al Web della loro esistenza cercando inoltre di porre dei paletti al fino a quel momento incontrollato far west dei cookie: la distinzione tra cookie tecnici (necessari al funzionamento del sito) e cookie di profilazione (utilizzati per raccogliere informazioni varie e dei quali bisogna rendere conto all’utente) non sembra tuttavia aver soddisfatto il parlamente europeo che in questi giorni ha manifestato l’intenzione di potenziare l’attuale normativa.

L’obbligo di mostrare un avviso agli internauti è stato ampiamente rispettato dai siti ma è apparso fin da subito inefficace: gli utenti hanno semplicemente aggiunto un altro passaggio alla navigazione dei siti, quello di cliccare distrattamente sull’avviso che comunica la presenza dei già citati cookie di profilazione – dei quali non è tra l’altro possibile rifiutare l’installazione.

A cosa mira la Cookie Law 2.0

Alla base della futura regolamentazione l’estensione della cookie law al settore dell’advertising, delle telecomunicazioni ed a servizi di messaggistica (es: WhatsApp, Telegram etc.), oltre al diritto per gli utenti di non accettare il tracking via cookie e di poter visitare ugualmente un portale in caso di rifiuto.

Le premesse non hanno naturalmente suscitato l’entusiamo delle compagnie che lavorano sulla raccolta, analisi e vendita dei dati le quali prevedono gravi danni per l’industria. I sostenitori controbattono ai toni allarmistici dei detrattori rispondendo che le nuove regole garantiranno non solo più diritti ai navigatori ma anche più flessibilità alle stesse aziende ed altri soggetti coinvolti – in un tweet riportato da The Register si parla di maggiore libertà nel trattamento delle informazioni di coloro che hanno dato il loro consenso.

L’iter che porterà all’applicazione della prossima normativa è comunque lungo e dovrà scontrarsi prevedibilmente con le forti pressioni esercitate dai lobbisti. A breve il Parlamento europeo aprirà un tavolo di discussione con il Consiglio europeo.

Fonte: 1

 

 

 

 

GDPR: quale futuro attende Whois?

Facebooktwittergoogle_plusredditlinkedin

GDPR: quale futuro attende Whois?

A fine Maggio 2018 entrerà ufficialmente in vigore la GDPR (General Data Protection Regulation). A meno di 9 mesi dall’arrivo della normativa 

I vari soggetti che operano nel mercato dei domini (Registri, registrar, compagnie che effettuano operazioni di data escrow) non sanno ancora quali linee guida seguire, esordisce Allemann. E i due enti che dovrebbero occuparsi di facilitare l’arrivo della GDPR,  l’UE e l’ICANN, non sono stati ancora in grado di fornire adeguate indicazioni. 

ICANN is affected by this as much as the other players. […] It’s safe to say that, since ICANN is spelling out the requirements on what needs to be collected and how data is being dealt with, ICANN is also a data controller and therefore the sanction risks are also with ICANN since they’re basically prescribing exactly what needs to be done with it

osserva T. Rickert, avvocato della Association of the Internet Industry e.V. che rappresenta gli interessi di registrar e Registri.

Come ricorderanno alcuni lettori e come ben sanno invece le aziende, le sanzioni previste per i trasgressori sono severe: si parla di 20 milioni di euro o di un “prelievo” pari al 4% del fatturato annuale; subire un furto di dati renderà passibili di azioni legali le imprese perchè, secondo quanto dice il GDPR, dirette responsabili della protezione e salvaguardia dei dati archiviati.

La situazione attuale…

Alleman afferma che l’ICANN ha aperto vari gruppi di discussione e creato una “matrice”che pone le basi per una gestione delle informazioni conforme alla GDPR. Le operazioni procedono però a rilento per via delle consuete “lungaggini burocratiche” ma anche per l’opposizione di alcuni soggetti – come le forze dell’ordine, i paletti imposti dalla normativa potrebbero infatti ostacolare il recupero di informazioni e quindi le indagini.

Se si vuole arrivare preparati per tempo a Maggio 2018, l’ICANN e le varie parti interessate dovranno stilare delle linee guida nel mese di Ottobre 2017, in occasione della convention di Abu Dhabi – afferma l’editorialista.

… e futura.

In chiusura un riassunto di quello che si aspetta Allemann nei prossimi dodici mesi:

  • alcuni dati / informazioni accessibili solo a determinati soggetti (es: le forze dell’ordine). L’editorialista ricorda inoltre il Registration Directory Service (RDS), un’idea che circola già da alcuni anni negli uffici dell’ICANN e prevede, in sintesi, la dismissione e sostituzione di Whois;
  • i registrar più piccoli dovranno far fronte a costi aggiuntivi e per i thick Whois si rivolgeranno probabilmente a soggetti di terze parti;
  • il passaggio dal thin (database che contiene informazioni parziali sul dominio) al thick Whois (database con tutte le informazioni inerenti il dominio) per le estensioni .COM e .NET potrebbe subire dei ritardi. E dovendo gestire direttamente i thick Whois, Verisign potrebbe aumentare il costo delle due note estensioni;
  • per questioni inerenti il trattamento dei dati, i registrar gTLD dovranno inevitabilmente appoggiarsi ai Registri;
  • la normativa potrebbe infine avere un impatto sui servizi di privacy Whois, tra i più redditizi per i registar.

Fonte: 1

 

Le novità introdotte dal nuovo regolamento sulla protezione dei dati personali – l’ambito di applicazione territoriale

Facebooktwittergoogle_plusredditlinkedin

Il Parlamento Europeo, in data 14 aprile 2016, ha definitivamente approvato, dopo un iter legislativo durato quattro anni, il c.d. “Pacchetto protezione dati” che si compone di due diversi strumenti:

  • il Regolamento n. 2016/679 concernente la “tutela delle persone fisiche con riguardo al trttamento dei dati personali e la libera circolazione di tali dati”, con il quale trova disciplina il trattamento dei dati personali, sia nel settore privato, sia nel settore pubblico ed è destinato ad abrogare la Direttiva 95/46/CE, che ha portato in Italia all’adozione del vigente D. Lgs 30 giugno 2003 n. 196 (il c.d. Codice Privacy);
  • la Direttiva n. 2016/680 indirizzata alla “regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all’esecuzione delle sanzioni penali”, che sostituirà la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di polizia e giustizia (che l’Italia, peraltro, non ha ancora attuato).

La pubblicazione del Regolamento n. 2016/679 è avvenuta in data 4 maggio 2016 ed, a partire dal ventesimo giorno successivo alla pubblicazione (24 maggio 2016), gli Stati membri avranno due anni di tempo per garantire il perfetto allineamento della normativa nazionale in materia di protezione di dati personali a quanto previsto e disciplinato con il predetto nuovo Regolamento europeo, che quindi diventerà definitivamente applicabile in tutto il territorio UE a partire dal 25 maggio 2018.

Lo strumento del Regolamento elimina il rischio della frammentazione applicativa della normativa in materia di protezione dei dati personali, frammentazione che invece aveva caratterizzato l’applicazione della precedente Direttiva Privacy, la quale era stata attuata nei vari Stati membri con sostanziali differenze.

Le principali novità introdotte dal Regolamento n. 2016/679 concernono l’ambito di applicazione territoriale della normativa, gli obblighi e le responsabilità che ne derivano, l’introduzione di nuove figure soggettive, i diritti del soggetto interessato e le sanzioni in caso di violazione.

Per quanto concerne l’ambito di applicazione territoriale, il Regolamento n. 2016/679 si pone in maniera innovativa rispetto a quanto precedentemente sancito dalla Direttiva 95/46/CE, in quanto modifica la concezione tradizionale del “principio di stabilimento” già sancito da quest’ultima ed estende l’ambito di applicazione della disciplina da esso introdotta anche a titolari e responsabili del trattamento non residenti nell’UE.

Infatti, il nuovo Regolamento sancisce l’applicabilità della disciplina dettata “indipendentemente dal fatto che il trattamento sia effettuato o meno nll’Unione” e stabilisce l’applicazione delle sue norme anche a Titolari e Responsabili non stabiliti nell’UE che trattino dati personali di persone fisiche che si trovano nell’UE quando il trattamento è in relazione a offerte di beni e servizi, indipendentemente dal fatto che sia richiesto o meno un pagamento ovvero che effettuino attività di monitoraggio sul comportamento di persone fisiche che si trovano nell’UE nella misura in cui tale comportamento avvenga nell’UE.

Per contro, invece l’attuale Direttiva 95/46/CE prevede che la disciplina in materia di tutela di dati personali trovi applicazione, per il tramite delle legislazioni personali, quando il trattamento di dati personali è effettuato “nel contesto delle attività di uno stabilimento del titolare situato nell’UE”.

Sulla base di tale principio, l’art. 5 del D. Lgs 196/2003, c.d. Codice Privacy, tutt’oggi ancora vigente, prevede che le sue norme si applichino “al trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato (italiano) o in luogo comunque soggetto alla sovranità dello Stato (italiano)” e “anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione Europeo se impiega, per il trattemnto, strumenti situati nel territorio dello Stato (italiano) anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione Europea”.

Con l’ampliamento dell’ambito di applicazione il legislatore europeo ha dimostrato così di aver preso in considerazione gli orientamenti delineatisi nella giurisprudenza della Corte di Giustizia Europea (soprattutto a partire dalla sentenza Google Spain) volti ad estendere la normativa europea in materia di tutela dei dati personali anche a casi casi in cui i Titolari sono soggetti non europei e i dati sono trattati principalmente fuori dall’Europa.

Privacy, impegno costante su Windows 10

Facebooktwittergoogle_plusredditlinkedin

Microsoft è costantemente impegnata nel proteggere la privacy dei suoi utenti. Infatti, essi chiedono a gran voce la possibilità di aver maggior controllo dei propri dati, maggiore comprensione di come i dati vengono raccolti e maggiore consapevolezza dei vantaggi portati da questa nuova “more personalized experience“.

Terry Myerson – Executive Vice President, divisione Windows e Dispositivi – annuncia il 10 gennaio 2017, attraverso un articolo pubblicato sul Blog di Windows, 2 importanti novità che riguardano il controllo della propria Privacy. Una di esse riguarda l’imminente rilascio di Windows 10 Creators Update, previsto per questa primavera.

Noi di ICT Power speravamo di poter già testare in anteprima le novità per Windows 10, in contemporanea con il rilascio della nuova ISO Insider, la 15002. Purtroppo abbiamo rilevato, in fase di primo avvio post-installazione (Figura 1 – 2), solo la nuova e non ancora completa OOBE (Out-Of-Box-Experience) di cui abbiamo parlato in questo articolo. Ci aiuteranno, per questo articolo, gli screen ufficiali pubblicati da Microsoft.

Figura 1 – Nuova OOBE di Windows 10 (ISO build 15002)

Figura 2 – Nuova OOBE di Windows 10 (ISO build 15002)

Dashboard per la Privacy

Microsoft, come molti sanno bene, raccoglie diversi dati necessari a migliorare e rendere personalizzata l’esperienza dei singoli utenti. In concreto, questi dati vengono utilizzati – a detta di Microsoft – per migliorare software, servizi e dispositivi, con l’obiettivo di contribuire alla sicurezza degli utenti. Nel tempo ci sono stati diversi dibattiti accesi sull’argomento e, in molti casi, si è anche esagerato. Una soluzione interessante potrebbe essere quella di informarsi correttamente, leggendo con attenzione tutta la documentazione pubblica, al posto di entrare in giganteschi vortici di discussioni senza una via d’uscita utile.

Di seguito le categorie, di dati più comuni, raccolte da Microsoft:

  • Esplorazione del Web e ricerche online
  • Posizione geografica
  • Dati raccolti per offrire un’assistenza più personale agli utenti
  • Salute e benessere
  • Dati usati per visualizzare annunci pubblicitari più interessanti
  • Dati di accesso e di pagamento
  • Informazioni dai sensori dei dispositivi
  • Windows 10 e servizi online

Per ogni categoria, all’interno del sito web dedicato, sono disponibili collegamenti a ulteriori informazioni e controlli, in modo che ogni utente abbia la possibilità di scegliere le impostazioni adeguate in base alle singole esigenze.

Con l’annuncio del 10 gennaio 2017, Microsoft riconferma il suo impegno nella trasparenza in materia di privacy rilasciando una nuova Dashboard digitale dedicata interamente alla Privacy, la quale permette ad ogni utente di consultare e amministrare i propri dati in modo semplice e veloce.

Una volta effettuata l’autenticazione con il nostro account Microsoft, avremo accesso alla sezione account.microsoft.com/privacy dove potremo visualizzare e cancellare dati come, ad esempio, la cronologia di esplorazione e delle ricerche su Internet, la geolocalizzazione e gli appunti di Cortana. Il tutto da un’unica posizione. Si tratta di un primo passo volto ad ampliare la gamma di strumenti utili a rendere i dati, relativi a servizi e prodotti Microsoft, visibili e controllabili. Ulteriori funzionalità e categorie di dati saranno aggiunte nel corso del tempo.

Nella Figura 3 potete osservare la nostra prova, fatta con la categoria Posizione e con i dati degli ultimi 6 mesi.

Figura 3 – Nuova sezione Privacy e test della categoria Posizione

La visualizzazione dei dati sulla mappa ci permette di osservare nel dettaglio molti dei dati di geolocalizzazione. Nell’esempio, riscontriamo molte attività su Bing che combaciano con ricerca d’informazioni su luogo e meteo, e tante foto scattate in giro per le città con l’aggiunta del metadato relativo alle coordinate GPS. Importante la possibilità di cancellare le attività relativa alla posizione con un clic sul pulsante Cancellare le attività relative alla posizione e di accedere ad altre Procedure con altrettanti approfondimenti.

Cambiamenti nella gestione della Privacy in Windows 10 Creators Update

Dopo il rilascio di Windows 10, avvenuto a luglio 2015, Microsoft ha condiviso questo articolo sul come viene protetta la privacy degli utenti Consumer e IT Pro in Windows 10. L’impegno continua nel rendere più semplice possibile l’attuazione di scelte informate in merito alla propria privacy con Windows 10. Infatti, con il Creators Update, verranno implementati alcuni cambiamenti mirati a semplificare le impostazioni della privacy e il modo in cui esse vengono presentate agli utenti.

  • Il nuovo aggiornamento introdurrà una nuova esperienza di organizzazione della privacy che permetterà all’utente di scegliere le impostazioni più adatte alle proprie esigenze, sostituendo il precedente Usa impostazioni rapide. Per chi proviene da Windows 7 o Windows 8, o per chi effettua una nuova installazione di Windows 10, la nuova OOBE mostrerà in maniera chiara delle semplici ma importanti impostazioni prima di poter andare avanti con l’installazione. Per chi già utilizza Windows 10, Microsoft utilizzerà le notifiche per richiedere agli utenti la scelta delle impostazioni della privacy. Il processo sarà introdotto nelle prossime versioni Insider di Windows.
  • Verrà semplificata la raccolta dei Dati di diagnostica e di utilizzo che passerà da tre livelli a due: Di base e Completi. Se precedentemente è stato selezionato il livello Avanzati, avremo la possibilità di scegliere tra Di base e Completi con il Creators Update.
  • Verrà implementata un’ulteriore riduzione dei dati raccolti per il livello Di base. Questo include dati indispensabili per il funzionamento di Windows. Generalmente essi vengono utilizzati per mantenere applicazioni e Windows sicuri, aggiornati, e correttamente funzionanti quando si lascia a Microsoft la possibilità di conoscere le funzionalità del dispositivo, ciò che vi è installato, e se Windows funziona correttamente. Questa opzione include anche i report base di errore che vengono inviati a Microsoft.

Di seguito, grazie alle immagini pubblicate nell’articolo ufficiale, possiamo dare uno sguardo in anteprima alle nuove impostazioni sulla privacy che saranno introdotte ai Windows Insider in una prossima build (Figura 4). Si nota subito la presenza di Cortana come parte attiva della nuova esperienza vocale di configurazione, in grado di rendere quest’ultima ancora più accessibile agli utenti. I dati vocali rimarranno sul dispositivo come parte del processo di configurazione.

Figura 4 – Nuove impostazioni della Privacy nella nuova OOBE (potrebbero cambiare aspetto nella versione finale)

In base alle scelte che verranno selezionate dall’utente, all’interno del nuovo processo di configurazione, Microsoft condividerà ulteriori informazioni sull’impatto che ogni singola scelta avrà sull’esperienza d’uso di Windows (Figura 5).

Figura 5 – Ulteriori informazioni in base alle singole opzioni (potrebbero cambiare aspetto nella versione finale)

Come sempre, gli utenti avranno comunque la possibilità di rivedere le impostazioni sulla Privacy in qualsiasi momento, e ovviamente modificarle, attraverso le Impostazioni di Windows 10.

Da questi annunci è chiaro che Microsoft crede fermamente nell’impegno a tutela della privacy dei propri utenti e, ascoltando i loro numerosi e importanti feedback, sceglie senza subbio la strada migliore: fornire opzioni semplici e chiare. Queste con l’ausilio di strumenti facili da utilizzare, in modo da dare a tutti il controllo su come le proprie informazioni vengono raccolte e utilizzate.

Per chi volesse approfondire vi segnaliamo l’articolo originale e la pagina ufficiale di Microsoft dedicata alla Privacy.