da Pietro Menconi | Mar 31, 2023 | Adeguamento Privacy, blog, sicurezza informatica
Il Garante della Privacy italiano ha emesso una decisione senza precedenti nel mondo, imponendo uno stop a ChatGpt. Questa decisione è stata presa a causa della raccolta illecita di dati personali e dell’assenza di sistemi per la verifica dell’età dei minori. L’effetto immediato di questa decisione ha comportato l’avvio di un’istruttoria. OpenAI, l’azienda statunitense che ha sviluppato e gestisce la piattaforma, ha 20 giorni di tempo per adottare le misure necessarie per correggere le violazioni, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato annuo.
La raccolta massiccia di dati personali per addestrare gli algoritmi è stata una delle ragioni principali per lo stop a ChatGpt. Il Garante ha sottolineato la mancanza di una informativa agli utenti e di una base giuridica che giustifichi la raccolta e la conservazione di tali dati. Inoltre, il Garante ha evidenziato come le informazioni fornite da ChatGpt non corrispondano sempre al dato reale, determinando un trattamento inesatto dei dati personali.
Infine, l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti esponga i minori a risposte inadeguate rispetto al loro grado di sviluppo e autoconsapevolezza. Il Garante ha quindi imposto lo stop a ChatGpt fino a quando non rispetterà la disciplina privacy e ha limitato provvisoriamente il trattamento dei dati degli utenti italiani da parte di OpenAI.
da Pietro Menconi | Mar 16, 2023 | Adeguamento Privacy, blog
Il Garante della privacy ha multato due siti web di comparazione di polizze per 120.000 euro, poiché non sono stati in grado di dimostrare la validità dei consensi ottenuti.
L’azione del Garante è stata intrapresa dopo un’indagine durata quasi un anno, scaturita da segnalazioni e un reclamo.
Dai controlli effettuati sui siti in questione, il Garante ha riscontrato che alcuni consensi erano segnati come “obbligatori” durante la compilazione delle informazioni per richiedere un preventivo, mentre altri consensi, come quello per le attività di marketing, erano pre-selezionati.
Inoltre, una volta che l’utente ha ricevuto il preventivo via email e ha cliccato sul link “Vai al preventivo”, tutti i consensi facoltativi venivano salvati come prestati, anche se in fase di compilazione si era negato il consenso. La società ha giustificato questo errore come un bug di sistema, ma ciò ha portato alla registrazione di consensi non validi per 9.700 utenti e di consensi non espressi per 2.155 utenti.
Il Garante ha quindi deciso di infliggere una multa di 120.000 euro, poiché i titolari del trattamento non sono stati in grado di dimostrare che i consensi raccolti rispettassero le disposizioni del GDPR. Infatti, il consenso deve essere libero, specifico, informato e revocabile, e nel caso esposto qui, non si trattava di consenso libero, poiché alcune caselle del modulo per richiedere il preventivo erano pre-selezionate.
È responsabilità del titolare del trattamento di raccogliere una prova del consenso inequivocabile, che includa informazioni su chi e quando è stato prestato il consenso, quali preferenze sono state espresse, le informative legali o sulla privacy in vigore al momento della raccolta del consenso, il modulo compilato e l’eventuale revoca del consenso.
Esistono soluzioni, che consentono di archiviare una prova del consenso in conformità con il GDPR, integrandosi perfettamente con i moduli di raccolta dati e sincronizzandosi con i documenti legali.
Per informazioni puoi contattarci anche tramite whastapp
da Pietro Menconi | Lug 15, 2022 | Adeguamento Privacy, blog
Novità per quanto riguarda Google Analytics, lo strumento di analisi che traccia le visite e le conversioni nella maggior parte dei siti oggi presenti in Italia e nel mondo:
La prima novità è che alcune authority della privacy europee (italiana, francese, tedesca, spagnola), hanno dichiarato Google Analytics (nella versione Universal Analytics) non è più conforme alle normative GDPR in quanto non rispetta le normative vigenti, i dati raccolti da Google vengono trasferiti nei server degli Stati Uniti dove le normative sulla privacy sono ben diverse dalle nostre e ritenute non in linea con le indicazioni fornite dalla UE.
La seconda invece riguarda Google, ha annunciato che dismetterà la versione Universal Analytics a partire da Luglio 2023.
Questo vuol dire che tutti i siti che entro quella data si devono adeguare.
Quali sono le possibili alternative?
- Passare a un servizio di analytics con sede in Europa:
Plausible, Matomo e Web Analytics Italia. Solamente la prima è opensource le altre prevedono un canone mensile. - Passare a Google Analytics 4 applicando delle misure aggiuntive relative alla privacy
- Non tracciare più visite ed eventi
Nel caso fossi interessato ad una delle soluzioni proposte, contattaci per un analisi del tuo sito e per una stima dei costi.
da Pietro Menconi | Lug 5, 2022 | blog, Adeguamento Privacy
Il Garante della Privacy, come era prevedibile, ha chiesto di sospendere Google Analytics in quanto i dati vengono trasferiti negli Stati Uniti (paese privo di un adeguato livello di protezione) senza il consenso degli utenti violando la normativa sulla protezione dei dati.
Diciamo che al momento non si tratta di un divieto vero e proprio ma di una sospensione in attesa che il sito in questione, adotti le misure necessarie per garantire la conformità col GDPR in merito al trasferimento dei dati in USA.
Quali sono i dati che GA raccoglie:
- indirizzi ip del dispositivo dell’utente
- informazioni relative al browser ed sistema operativo
- la lingua utilizzata
- data e ora della visita
Il garante ritiene che la legislazione USA non offra garanzie adeguate, non in linea con gli standard del GDPR.
Il garante ha dato 90 giorni di tempo per adottare misure adeguate, questo vuol dire che gli scenari possono cambiare e che Google potrebbe adottare le misure richieste dal Garante.
Una delle misure che è possibile adottare nel breve periodo è quella di migrare a Google Analytics 4 (non esiste certezza che sia conforme, unica cosa certa è che il garante si è espresso solo nei confronti di Universal Analytics e non di GA4).
GA4 presenta alcune caratteristiche che lo rendono “più conforme”:
- non gestisce ip degli utenti
- i dati vengono gestiti tramite server proxy collocato in Europa
- anonimizzare gli indirizzi ip
Il consiglio è quello di passare a GA4, anche perchè nel 2023 Universal verrà dismesso e tanto vale farlo adesso.
Se hai bisogno di supporto contattaci.
da Pietro Menconi | Feb 16, 2022 | Adeguamento Privacy
Il Garante della privacy ha annunciato il piano ispettivo per il primo semestre del 2022, verranno presi in esame:
trattamento dei dati personali, uso dei cookie e sistemi di videosorveglianza.
Obblighi principali ai quali ogni sito deve adattarsi
Le nuove linee guida aggiornano le precedenti e allineano la normativa nazionale alle direttive adottate dall’ European Data Protection Board del 4 maggio 2020.
- Cookie Banner: i pulsanti Accetta e Rifiuta sono stati resi obbligatori, non è considerata legale la possibilità di non poter rifiutare il consenso
- Cookie disabilitati di default: ad eccezione dei cookie tecnici, tutti gli altri devono essere disabilitati di default. Anche i cookie di tracciamento devono essere disabilitati fino a che l’utente non ha espresso il consenso.
- Scelte granulari e preferenze modificabili in ogni momento: l’utente deve avere la possibilità di scegliere quali cookie attivare ed in ogni momento deve avere la possibilità di poter revocare il consenso
- Raccolta del consenso per scorrimento: non è più valida l’accettazione tramite scorrimento del mouse
- Basta con i cookie wall: illegale l’obbligo di accettare i cookie per poter accedere ai contenuti di un sito web
- Validità del consenso: deve essere espresso una volta sola ed ha validità di un mese. Vietato mostrare in maniera insistente il cookie banner del consenso.
Come possiamo aiutarvi?
Il nostro sistema, certificato dagli esperti dell’Accademia Italiana della Privacy permette di essere in regola e rendere conforme il tuo sito web alle normative attuali.
da Pietro Menconi | Ott 30, 2019 | Adeguamento Privacy, blog
Forse per google, la sanzione di 50 milioni di euro emessa dai francesi sono pochi spiccioli, ma al momento si tratta della sanzione piu’ alta mai emessa. Da quello che circola, la cifra potrebbe essere superata dalla sanzione che potrebbe essere emessa nei confronti di Facebook per lo scandalo relativo a Cambridge Analytica.
In casa nostra come siamo messi? Posto che la normativa non esonera le piccole realtà dall’adottare queste misure di sicurezza, diciamo che siamo messi abbastanza male, circa il 60% delle attività non sono in regola, il 20% è in regola solo parzialmente, il restante 20% e pienamente conforme.
Cosa prevedono le ispezioni?
Il Garante, sta procedendo alle ispezioni chiedendo varie informazioni e accedendo ai sistemi informatici delle aziende per verificare la corrispondenza di quanto indicato nella documentazione e quanto è stato fatto. Al momento, almeno fino a quando è stato scritto questo post, ci si è limitati ad avvisare l’azienda, concedendo circa 30 giorni di tempo per procedere con l’adeguamento alla normativa.
Sanzioni emesse in Italia
Al momento l ‘unica sanzione emessa in Italia, è stata quella che ha colpito l’associazione Rousseau per la mancata adozione delle misure di sicurezza, in seguito al Data Breach relativo ai siti del movimento 5 stelle. La sanzione è stata di 50 mila euro.
I criteri per il calcolo della sanzioni, non sono molto chiari, il Garante non prevede un importo minimo ma solo un importo massimo fino al 4% del fatturato annuo dell’esercizio precedente.