N.4 - Marzo 2024

• FAQ sulla conservazione delle password
• Quando un dato è anonimo?
• Attenzione al trattamento di dati biometrici
• Notizie

A dicembre del 2023 il Garante Privacy e l’Agenzia per la cybersicurezza hanno adottato delle Linee Guida, che forniscono raccomandazioni sulle funzioni crittografiche ritenute al momento più sicure per la conservazione delle password, onde evitare eventuali violazioni attraverso accessi illeciti, furti di identità, richieste di riscatto o altri tipi di attacchi.

Nel marzo del 2024 il Garante ha poi sentito l’esigenza di fornire chiarimenti con la pubblicazione di alcune FAQ:

• il provvedimento si rivolge a tutti i titolari e i responsabili del trattamento che conservano credenziali di autenticazione di utenti all’interno dei propri sistemi informatici;
• l’adozione delle misure tecniche di conservazione delle password è necessaria se vengono soddisfatte una o più di queste condizioni:
  • il trattamento riguarda le password di un numero significativo di utenti;
  • il trattamento riguarda le password di utenti che possono accedere a banche dati di particolare rilevanza o dimensioni;
  • il trattamento riguarda le password di specifiche tipologie di utenti che sistematicamente trattano, con l’ausilio di strumenti informatici, dati appartenenti a categorie particolari o relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento (UE) 2016/679;
• le linee guida vanno seguite anche nel caso di una procedura di autenticazione a più fattori;
• le linee guida devono essere applicate anche alla password history;
• le password devono essere  tempestivamente cancellate in caso di:
  • cessazione o dismissione dei sistemi informatici o servizi online a cui consentivano l’accesso;
  • un utente che non ha più necessità di accedere a un sistema informatico o un servizio online o che non ha più i requisiti che ne hanno determinato l’abilitazione.

Con una recente sentenza la Corte di Giustizia dell'Unione Europea ha valutato se “una serie di segni, che rileva le preferenze di un utente di Internet in relazione al trattamento dei suoi dati personali in modo strutturato e leggibile meccanicamente, configura un dato personale".

La IAB Europe, un'associazione che si propone di rappresentare  l’ecosistema della pubblicità e del marketing digitale, ha attivato un sistema di registrazione delle scelte dell’utente, cioè se acconsentire o meno al trattamento dei propri dati personali. Le preferenze sono registrate in una stringa (TC String) che viene condivisa con le varie piattaforme pubblicitarie metterle al corrente delle scelte dell'utente. La stringa non contiene elementi che consentano l’identificazione dell’interessato, ma solo le sue preferenze.

A seguito di alcune segnalazioni, l'autorità di controllo belga avviò un procedimento nei confronti della IAB Europe, che si concluse ritenendo la società titolare del trattamento, e imponendole una serie di misure correttive oltre a una sanzione pecuniaria. La IAB contestò le conclusioni sostenendo di non poter essere qualificabile come titolare del trattamento dato che la TC String non contiene dati personali e che la IAB non ha la possibilità di accedere a nessun altro dato che  potrebbe consentire l'identificazione dell'utente.

I giudici della Corte, partendo dalla definizione di dato personale nel Regolamento (UE) 2016/679 (“qualsiasi informazione riguardante una persona fisica identificata o identificabile”), hanno ricordato che ai fini della decisione se un dato sia personale non è  necessario che “tutte le informazioni che consentono di identificare la persona interessata si trovino in possesso di una sola persona”. Nella fattispecie, la possibilità di associare una TC String ad un indirizzo IP potrebbe permettere di risalire all'identità dell'utente ed inoltre, dato che i membri della IAB Europe, su sua richiesta, sono tenuti a comunicarle tutte le informazioni in loro possesso sugli utenti associati ad una TC String, “la IAB Europe dispone di mezzi ragionevoli che le consentono di identificare una determinata persona fisica in base ad una TC String”. Per quanto riguarda la questione se IAB sia titolare del trattamento, i giudici hanno concluso che la società sia contitolare con i propri membri, perché, da una parte, determina insieme ad essi le finalità delle operazioni relative all’acquisizione delle preferenze dell’utente e, dall’altra, definisce le modalità del trattamento delle TC String (ad es. generazione, gestione dei cookie, ecc. ecc.).

In conclusione, perché un dato possa definirsi anonimo non è sufficiente che le informazioni aggiuntive necessarie per identificare il soggetto non siano in possesso di chi lo tratta. È necessario anche verificare se esistono mezzi ragionevoli di cui chi lo tratta potrebbe avvalersi per identificare gli interessati.

Il progetto Worldcoin si propone, a detta della Worldcoin Foundation che lo sostiene, di creare la più grande rete finanziaria, rispettosa della privacy, che consenta l'accesso senza discriminazioni all'economia globale. Il protocollo di autenticazione del progetto utilizza una scansione dell'iride dell'utente con uno strumento chiamato ORB.

In previsione dell'attivazione del progetto anche in Italia il Garante per la Protezione dei Dati Personali ha analizzato l'informativa che viene fornita all'interessato, ritenendola carente sui rischi legati al trattamento dei dati.

Il 21 marzo 2024, il Garante ha quindi emesso un provvedimento di avvertimento nei confronti della Worldcoin Foundation. In esso, l'Autorità ribadisce l'obbligatorietà del  rispetto dei principi di liceità, necessità, proporzionalità e minimizzazione dei dati sanciti nel RGPD, che anche se l'uso di nuove tecnologie possa essere ritenuto particolarmente efficace, i titolari del  trattamento  devono  sempre prima  valutarne  l'impatto  sui  diritti  e sulle libertà fondamentali e considerare mezzi meno intrusivi per raggiungere lo scopo del trattamento e infine che  «il trattamento dei dati biometrici, in ogni circostanza, costituisce di per sé un'ingerenza grave» (EDPB Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement). La Fondazione viene dunque avvertita "sul fatto che i trattamenti  di  dati  biometrici  che  dovessero  essere effettuati in Italia, attraverso gli ORB e con le modalità sopra descritte, possono verosimilmente violare della [sic] disposizioni del regolamento, con tutte le conseguenze, anche di carattere sanzionatorio, ivi previste".

La Federal Trade Commission ha accusato Avast, una società che promette di proteggere i dati di navigazione web dei propri utenti, di venderli invece a terze parti.

La FTC sostiene che Avast dichiara di distribuire i dati in forma anonima e aggregata mentre non è così almeno dal 2014.

Avast rischia una multa di oltre sedici milioni di dollari.

La Commissione Europea ha aperto un'inchiesta formale per verificare se TikTok ha violato il Digital Service Act (DSA).